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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren zur Ver- 
besserung der Sicherheit von Frankiermaschinen, in 
der im Oberbegriff des Anspruchs 1 angegebenen Art. 
[0002] Eine Frankiermaschine erzeugt in der Regel 
einen Aufdruck in einer mit der Post vereinbarten Form 
rechtsbundig, parallel zur oberen Kante des Postgutes 
begin nend mit dem Inhalt Postwert im Poststempel, 
Datum im Tagesstempel und Stempelabdrucke fur Wer- 
beklischee und ggf. Sendungsart im Wahldruckstempel. 
Der Postwert, das Datum und die Sendungsart bilden 
hierbei die entsprechend dem Poststuck einzugeben- 
den variablen Information en. 

[0003] Beim Postwert handelt es sich meist urn die 
vom Absender vorausbezahfte Beforderungsgebuhr 
(Franko), die einen wiederauffullbaren Guthabenregi- 
ster entnommen und zum Freimachen der Postsendung 
verwendet wird. Im Gegensatz dazu wird beim Konto- 
korrentverfahren ein Register in Abhangigkeit von den 
mit dem Postwert vorgenommenen Frankierungen 
lediglich hochgezahlt und in regelmaBigen Abstanden, 
von einem Postinspektor abgelesen. Grundsatzlich ist 
jede vorgenommene Frankierung abzurechnen und 
jede Manipulation, welche zu einer nichtabgerechneten 
Frankierung fuhrt, muB verhindert werden. 
[0004] Eine bekannte Frankiermaschine ist mit min- 
destens einem Eingabemittel, einem Ausgabemittel, 
einem Ein/Ausgabe-Steuermodul, einer Programnrv, 
Daten- und insbesondere die Abrechnungsregister tra- 
genden Speichereinrichtung, einer Steuereinrichtung 
und einem Druckermodul ausgerustet. Bei einem Druk- 
kermodul mit Druckmechanik mussen auch MaBnah- 
men ergriffen werden, damit im ausgeschalteten 
Zustand die Druckmechanik nicht fur unabgerechnete 
Abdrucke miGbraucht werden kann. 
[0005] Die Erfindung betrifft ein Verfahren fur Fran- 
kiermaschinen, die einen vollelektronischen erzeugten 
Abdruck zum Frankieren von Postgut einschlieBlich 
Abdruck eines Werbeklischees liefern. Das hat zur 
Folge, daB nur noch im eingeschalteten Zustand ein 
nicht abgerechnetes gultiges Frankieren verhindert wer- 
den muB. 

[0006] Bei einer aus der US 4 746 234 bekannten 
Frankiermaschine werden feste und variable Informatio- 
nen in Speichermitteln (ROM, RAM) gespeichert, urn 
diese dann, wenn ein Brief auf dem Transportpfad vor 
der Druckposition einen Mikroschafter betatigt, mittels 
eines Mikroprozessors auszulesen und um ein Druckst- 
euersignal zu bilden. Beide sind elektronisch zu einem 
Druckbild zus amine ngesetzt und werden durch Ther- 
motransferdruckmittel auf einen zu frankierenden Brief- 
umschlag ausgedruckt 

[0007] Es wurde auch bereits ein Verfahren zum 
Steuern des spaltenweisen Druckens eines Postwert- 
zeichenbildes in einer Frankiermaschine vorgeschlagen 
EP 578 042 A2, welches getrennt voneinander in gra- 
phische Pixelbilddaten umgesetzte feste und variable 



Daten wahrend des spaltenweisen Druckens zusam- 
mensetzt. Es ware daher schwierig, ohne groBen und 
teuren Aufwand eine Manipulation am Drucksteuersi- 
gnal vorzunehmen, wenn das Drucken mit einer hohen 
5 Geschwindigkeit erfolgt. 

[0008] Andererseits umfaBt die Speichereinrich- 
tung mindestens einen nichtfliichtigen Speicherbau- 
stein, der das aktuell verbliebene Restguthaben enthalt, 
welches daraus resultiert, daB von einem fruher in die 
io Frankiermaschine geladenen Guthaben der jeweilige zu 
druckenden Portowert abgezogen wird. Die Frankier- 
maschine blockiert, wenn das Restguthaben Null ist. 
[0009] Bekannte Frankiermaschinen enthalten in 
mindestens einem Speicher drei relevante Postregister 
is fur verbrauchten Summenwert (steigendes Register), 
noch verfugbares Restguthaben (fallendes Register) 
und Register fur eine Kontroilsumme. Die Kontroll- 
summe wird mit der Summe aus verbrauchten Sum- 
menwert und aus verfugbaren Guthaben verglichen. 
20 Bereits damit ist eine Uberprufung auf richtige Abrech- 
nung moglich. 

[0010] In der US 4 251 874 wird ein mechanisches 
Druckwerk, das zum Drucken voreingestellt werden 
muB, mit einer Detektoreinrichtung verwendet, um die 
25 Voreinstellung zu uberwachen. Fernersind im elektroni- 
schen Abrechnungssystem Mittel zum Feststellen von 
Fehlern in Daten- und Steuersignalen vorgesehen. 
Erreicht diese Fehlerzahl einen vorgegebenen Wert, 
wird der weitere Betrieb der Frankiermaschine unter- 
30 brochen. Der plotzliche Ausfall der Frankiermaschine ist 
aberfurden Frankiermaschinen ben utzer nachteilig. Bei 
einem nichtmechanischen Druckprinzip sind anderer- 
seits kaum solche internen Fehler zu erwarten und bei 
einem schweren Fehler ist die Frankiermaschine ohne- 

35 hin sowieso sofort abzuschalten. AuBerdem wird die 
Sicherheit gegenuber einer Manipulation der Frankier- 
maschine dadurch kaum groBer, indem die Frankierma- 
schine nach einer vorbestimmten Fehleranzahl 
abgeschaltet wird. 

40 [001 1] Aus der US 4 785 41 7 ist eine Frankierma- 
schine mit einer Programmsequenzuberwachung 
bekannt. Der korrekte Ablauf eines groBeren Pro- 
grammstucks wird mittels eines jedem Programmteil 
zugeordneten speziellen Codes kontrolliert, der bei Auf- 

45 rut des Programmstucks in einer bestimmten Speicher- 
zelle im RAM abgelegt wird. Es wird nun uberpruft, ob 
der in der vorgenannten Speicherzelle abgelegte Code 
im gerade ablaufenden Programmteil immer noch vor- 
handen ist. Wurde bei einer Manipulation derLauf eines 

so Programmteils unterbrochen und ein anderer Pro- 
grammteil lauft ab, kann durch eine solche Kontrollfrage 
ein Fehler festgestel It werden. Der Vergleich kann aber 
nur im Hauptablauf durchgefuhrt werden. Nebenab- 
laufe, beispielsweise sicherheitsrelevante Berechnun- 

55 gen, welche von mehreren HauptablSufen benutzt 
werden, kflnnen durch eine solche Uberwachung auf 
Ausfuhrung des Programmteils jedoch nicht kontrolliert 
werden, weil die Programmkontrolle unabh§ngig vom 
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Programmablauf erfolgt. Wird auf der Basis von erlaub- 
ten Programmteilen und Nebenablaufen so manipuliert, 
daB Nebenablaufe zusatzlich in Hauptablaufe einge- 
bunden Oder aus lezteren weggelassen werden Oder 
auf Nebenablaufe verzweigt wird, dann wurde kein Feh- 5 
ler festgestellt werden, da weder die Lange des Pro- 
grammteils festgestellt, noch festgestellt werden kann, 
welch er Programmzweig wie oft durchlaufen wurde. 
[0012] Bei bekannten Frankiermaschinen sind 
bereits weitere SicherheitsmaGnahmen, wie Wegbrech- 10 
schrauben und gekapselte abgeschirmte Sicherheits- 
gehause, zum Schutz vor der unbefugten Offnung des 
Sicherheitsgehauses ublich. 

[0013] Ein Sicherheitsgehause fur Frankiermaschi- 
nen, welches innere Sensoren aufweist, ist aus der DE is 
41 29 302 A1 bekannt. Die Sensoren sind hierbei mit 
einer Batterie verbundene Schalter, welche beim 6ff- 
nen des Sicherheitsgehauses aktiv werden, um einen 
das Restwertguthaben speichernden Speicher (fallen- 
des Postregister) durch Unterbrechen der Energiezu- 20 
fuhr zu loschen. Es ist bekanntlich aber nicht 
vorhersagbar, welchen Zustand ein spannungsloser 
Speicherbaustein beim Wiederkehr der Spannung ein- 
nimmt. Somit konnte auch ein nicht bezahltes hoheres 
Restguthaben entstehen. Andererseits kann nicht aus- 25 
geschlossen werden, da(3 sich auf oben genannte 
Weise, das Restwertguthaben zumindest teilweise ent- 
ladt. Das ware aber bei einer Inspektion nachteilig, da 
das Restwertguthaben, welches vom Frankiermaschi- 
nennutzer bezahlt worden war, auch wieder geladen 30 
werden muB, die HShe dieses Restguthabens jedoch 
durch o.g. Einflusse verfalscht sein kann. SchlieBlich ist 
der Beschreibung nicht entnehmbar, wie verhindert 
werden kann, daB ein Manipulator ein nicht bezahltes 
Restguthaben wiederherstellt. 35 
[0014] Es ist bereits in der US 4 812 965 ein Fern- 
inspektionssystem fur Frankiermaschinen vorgeschla- 
gen worden, welches auf speziellen Mitteilungen im 
Abdruck von Poststucken, die der Zentrale zugesandt 
werden mussen, oder auf einer Fernabfrage uber 40 
MODEM bastert. Sensoren innerhalb der Frankierma- 
schine sollen jede vorgenommene Verfalschungshand- 
lung detektieren, damit in zugehorigen Speichern ein 
Flag gesetzt werden kann, falls in die Frankiermaschine 
zu Manipulationszwecken eingegriffen wurde. Ein sol- 45 
cher Eingriff konnte erfolgen, um ein nicht bezahltes 
Guthaben in die Register zu laden. 
[0015] Bei Feststellung einer Manipulation wird die 
Frankiermaschine wahrend der Ferninspektion uber 
Modern durch ein von der Datenzentrale ausgehendes so 
Signal gesperrt. 

[0016] Eine geschickte Manipulation konnte aber 
andererseits darin bestehen, nach der Herstellung von 
nicht abgerechneten Frankieraufdrucken, das Flag und 
die Register in den ursprunglichen Zustand zuruckzu- 55 
versetzen. Eine solche Manipulation ware uber Fernin- 
spektion durch die Datenzentrale nicht erkennbar, wenn 
diese ruckgangig gemachte Manipulation vor der Fern- 



inspektion lag. Auch der Empfang der Postkarte von der 
Datenzentrale, auf welche eine zu Inspektionszwecken 
vorzunehmende Frankierung erfolgen soil, gestattet 
dem Manipulator die Frankiermaschine in ausreichen- 
derZeit in den ursprunglichen Zustand zuruckzu verset- 
zen. Damit ist also noch keine hohere Sicherheit 
erreichbar. 

[001 7] Der Nachteil eines solchen Systems besteht 
darin, daB nicht verhindert werden kann, daf3 ein genii- 
gend qualifizierter Manipulator, welcherin die Frankier- 
maschine einbricht, seine hinterlassenen Spuren 
nachtraglich beseitigt, indem die Flags gelflscht wer- 
den. Bei einer spateren Ferninspektion kann dann kein 
Fehler bzw. Manipulationsversuch festgestellt werden. 
[0018] Weiterhin ist es in Verbindung mit der Fern- 
abfrage von Registerstanden bekannt, von einer Daten- 
zentrale uber eine Fernwertvorgabe eine 
Wiederaufladeinformation zur Frankiermaschine zu 
ubertragen, um in das Register fur das Restguthaben 
(Restwert) ein Guthaben nachzuladen. Es verstehtsich 
von selbst, daf3 hierfur geeignete SicherheitsmaBnah- 
men getroffen werden mussen, damit das in der Fran- 
kiermaschine gespeicherte Guthaben nicht in 
unbefugter Art und Weise aufgestockt werden kann. Die 
vorgenannten Losungen gegen MiBbrauch und Fal- 
schungsversuche zu schutzen, erfordert einen zusatzli- 
chen materiellen und zeitlichen Aufwand. 
[0019] Ublich sind auch Schlussel und ein Zahlen- 
schloB um den Zugriff auf die Frankiermaschine zu 
erschweren. 

[0020] Eine entsprechende SicherheitsmaBnahme 
ist auch aus dem US 4 549 281 bekannt. Hier erfolgt ein 
Vergfeich einer internen in einem nichtfluchtigen Regi- 
ster gespeicherten festen Kombination mit einer einge- 
gebenen externen Kombination, wobei nach einer 
Anzahl an Fehlversuchen, d.h. Nichtidentitat der Kombi- 
nationen, die Frankiermaschine mittels einer Hem- 
mungselektrontk gesperrt wird. 

[0021] Nach US 4 835 697 kann zur Verhinderung 
eines unautorisierten Zugriffs auf die Frankiermaschine 
eine Kombination grundsatzlich gewechselt werden. 
[0022] In der US 4 812 994 soil ein unautorisierter 
Zugriff einer Benutzung der Frankiermaschine daruber 
hinaus durch Sperrung der Frankiermaschine bei 
Falscheingabe eines vorbestimmten PaBwortes verhin- 
dert werden. AuBerdem kann die Frankiermaschine mit- 
tels PaBwort und entsprechender Eingabe uber 
Tastatur so eingestellt werden, daB ein Frankieren nur 
wahrend eines vorbestimmten Zeitintervalls bzw. 
Tageszeiten moglich ist. 

[0023] Das PaBwort kann durch einen Personal- 
computer uber MODEM, durch eine Chipkarte oder 
manuell in die Frankiermaschine eingegeben werden. 
Nach positivem Vergleich mit einem in der Frankierma- 
schine gespeicherten PaBwort wird die Frankierma- 
schine freigegeben. Im Steuermodul der 
Abrechnungseinheit ist ein Sicherheitsmodul (EPROM) 
integriert. Als weitere SicherheitsmaBnahme ist ein Ver- 
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schlusselungsmodul (separater Mikroprozessor oder 
Programm fur FM-CPU basierend auf DES-oder RSA- 
Code) vorgesehen, der eine den Portowert, die Teilneh- 
mernummer, eine Transaktionsnummer und ahnliches 
umfassende Erkennungsnummer im Frankierstempel 5 
erzeugt. Bet genugend krimineller Energie konnte aber 
auch ein PaBwort ausgeforscht und samt Frankierma- 
schine in den Besitz eines Manipulators gebracht wer- 
den. 

[0024] Aus der US 4 864 506 ist bekannt, daB wenn 10 
- der Wert des Guthabens im fallenden Register unter 
einem Schwellwert liegt und eine vorbestimmte Zeit 
erreicht ist, eine Kornmunikation zur entfernten Daten- 
zentrale von der Frankiermaschine aufgenommen wird. 
Es ist vorgesehen, daB die Datenzentrale zum Empfang 75 
von Registerdaten und zur Kontrolle, ob die Frankierma- 
schine noch an eine bestimmte Telefonnummer ange- 
schlossen ist, die Verbindung mit der Frankiermaschine 
nach einer definierten Zeitdauer aufnimmt und die Fran- 
kiermaschine nur zu vorbestimmten Zeiten antwortet. 20 
AuBerdem ist vorgesehen, vor einer Guthabennachla- 
dung in die Frankiermaschine, zur Autorisierung durch 
die Datenzentrale die Identitatsnummer der Frankier- 
maschine und die Werte im fallenden und steigenden 
Register abzufragen. 25 
[0025] Weiterhin ist aus o.g. Patent bekannt, daB 
die Kornmunikation der Datenzentrale mit der Frankier- 
maschine nicht auf bloSe Guthabenubertragung in die 
Frankiermaschine beschrankt zu bleiben braucht. Viel- 
mehr wird im Falle einer Abmeldung der Frankierma- 30 
schine die Kornmunikation der Datenzentrale mit der 
Frankiermaschine zur Ubertragung des Restguthabens 
der Frankiermaschine in die Datenzentrale genutzt. Der 
Wert im fallenden Postregister der Frankiermaschine ist 
dann Null, was die Frankiermaschine wirksam auBer 35 
Betrieb setzt. 

[0026] Dartiber hinaus ist aus der EP 388 840 A2 
eine vergleichbare Sicherheitstechnik fur ein Setzen 
einer Frankiermaschine bekannt, um diese von Daten 
zu sSubern, ohne daB die Frankiermaschine zur Her- 40 
stellerfirma transportiert werden muB. Auch hier ist die 
Sicherheit allein von der Verschlusselung der ubertra- 
genen Code abhangig. 

[0027] Aus der US 5 077 660 ist auBerdem eine 
Methode zum Wechsel der Konfiguration der Frankier- 45 
maschine bekannt, wobei die Frankiermaschine mittels 
geeigneter Eingabe Ciber eine Tastatur vom Betriebs- 
mode in einen Konfigurationsmode umgeschaltet und 
eine neue Metertypnummer eingegeben werden kann, 
welche der gewiinschten Anzahl an Merkmalen ent- so 
spricht. Die Frankiermaschine generiert einen Code fur 
die Kornmunikation mit dem Computer der Datenzen- 
trale und die Eingabe der Identifikationsdaten und der 
neuen Metertypnummer in vorgenannten Computer, 
der ebenfails einen entsprechenden Code zur Ubermitt- 55 
lung und Eingabe in die Frankiermaschine generiert, in 
der betde Code verglichen werden. Bei Ubereinstim- 
mung beider Code wird die Frankiermaschine konfigu- 



riert und in den Betriebsmode umgeschaltet. Die 
Datenzentrale hat dadurch vom jeweils eingestellten 
Metertyp fur die entsprechende Frankiermaschine 
immer genaue Aufzeichnungen. Jedoch ist die Sicher- 
heit allein von der Verschlusselung der ubertragenen 
Code abhangig. 

[0028] Aus der EP 516 403 A2 ist bekannt, die in 
der Vergangenheit protokollierten und in einem Spei- 
cher gespeicherten Fehlerder Frankiermaschine regel- 
maBig zu einem entfernten Fehleranalysecomputer zur 
Auswertung zu ubertragen. Eine solche Ferninspektion 
erlaubt eine fruhe Warnung vor einem auftretenden 
Fehler und ermdglicht weitere MaBnahmen (Service) zu 
ergreifen. 

[0029] Allein dies bietet noch kein ausreichendes 
Kriterium fur eine Manipulation. Selbst wenn im Daten- 
zentrum eine zusatzliche Ermittlung hinsichtlich eines 
Nutzers einer Frankiermaschine erfolgen wurde, die 
vom Nutzer uber das Inspektionsdatum hinaus weiter- 
betrieben wurde, konnte aus diesen Informationen noch 
nicht auf eine in Falschungsabsicht vorgenommene 
Manipulation geschluBfoIgert werden, wenn sich die 
Frankiermaschine nicht regelmaBig meldet. Eine Ursa- 
che fur ein unregelmaBiges Melden bei der Datenzen- 
trale kann auch ein schwankendes Postaufkommen 
sein. 

[0030] Aus der US 4 811 234 ist bekannt, die Trans- 
aktionen verschlusselt durchzufuhren und dabei die 
Register der Frankiermaschine abzufragen und die 
Registerdaten der Datenzentrale zu (ibermitteln, um 
einen zeitiichen Bezug der Verringerung des im Regi- 
ster gespeicherten verfugungsberechtigten Betrages 
anzuzeigen. Einerseits identifiziert sich die Frankierma- 
schine bei der Datenzentrale, wenn ein voreinstellbarer 
Schwellwert erreicht ist, mittels ihres verschlusselten 
Registerinhaltes. 

[0031] Andererseits modifiziert die Datenzentale 
durch entsprechende Berechtigungssignale den 
gewiinschten Frankierbetrag, bis zu dem frankiert wer- 
den darf. Die Verschlusselung ist somit die einzige 
Sicherheit gegen eine Manipulation der RegisterstSnde. 
Wenn also ein Manipulator zwar ordnungsgemaB 
immer den gleichen Betrag in gleichen zeitiichen Inter- 
vallen ladt, aber zwischenzeitlich mit der manipulierten 
Frankiermaschine einen viel hdheren Betrag frankiert, 
als er bezahft hat, kann die Datenzentrale keine Mani- 
pulation feststellen. 

[0032] Die gesicherte Nachladung einer Frankier- 
maschine mit einem Guthaben wurde in US 3 255 439 
einerseits bereits mit einer automatischen Signaluber- 
tragung von der Frankiermaschine zur Datenzentrale 
verbunden, wenn immer eine vorbestimmte Geldmittel- 
summe, welche frankiert wurde, Oder Stuckzahl an 
bearbeiteten Poststucken oder eine vorbestimmte Zeit- 
periode erreicht wurde. 

[0033] Alternativ kann ein der Geldmittelsumme, 
Stuckzahl oder Zeitperiode entsprechendes Signal 
Gbermittelt werden. Dabei erfolgt die Kornmunikation 
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mittels binarer Signale Ciber miteinander uber eine Tele- 
fonleitung verbundene Konverter. Die Maschine erhalt 
eine ebenso gesicherte Nachladung entsprechend der 
Kreditbalance und blockiert in dem Fall, wenn kein Kre- 
dit nachgeliefert wird. Fur die Ubermittlung der Daten ist 5 
eine entsprechende Verschlusselung erforderlich. 
Einem erhohten Sicherheitsbedurfnis gegenuber einer 
Manipulation der Frankiermaschine kann mit dieser 
Losung allein aber noch nicht entsprochen werden. 
[0034] GemaG der GB 22 33 937 A und US 5 1 81 10 
245 kommuniziert die Frankiermaschine periodisch mit 
der Datenzentrale. Ein Blockiermittel gestattet der Fran- 
kiermaschine nach Ablaut einer vorbesttmmten Zeit 
bzw. nach einer vorbestimmten Anzahl an Operations- 
zyklen, zu blockieren und liefert eine Warnung an den is 
Benutzer. Zum Freischaiten muG von auBen ein ver- 
schlusselter Code eingegeben werden, welcher mit 
einem intern erzeugten verschlusselten Code vergli- 
chen wird. Um zu verhindern, daB falsche Abrech- 
nungs daten an die Datenzentrale geliefert werden, 20 
werden in die Verschusselung des vorgenannten Codes 
die Abrechnungsdaten mit einbezogen. Nachteilig ist, 
daB die Warnung zugleich mit dem Blockieren der Fran- 
kiermaschine erfolgt, ohne daB der Benutzer eine Mog- 
lichkeit hat, sein Verhalten rechtzeitig entsprechend zu 25 
andern und die Datenzentrale vorher anruft. 
[0035] Aus der US 5 243 654 ist eine Frankierma- 
schine bekannt, wo die laufenden von Uhr/Datumsbau- 
stein gelieferten Zeitdaten mit gespeicherten 
Stillegungszeitdaten verglichen werden. Ist die gespei- 30 
cherte Stillegungszeit durch die laufende Zeit erreicht, 
wird die Frankiermaschine deaktiviert, das heiBt ein 
Drucken verhindert. 

[0036] Bei Verbindungsaufnahme mit einer Daten- 
zentrale, welche die Abrechnungsdaten aus dem stei- 35 
genden Register ausliest, wird der Frankiermaschine 
ein verschlusselter Kombinationswert ubermittelt und 
eine neue Frist gesetzt, wodurch die Frankiermaschine 
wieder betriebsfahig gemacht wird. Dabei ist der Ver- 
brauchssummenbetrag, der das verbrauchte Porto 40 
summiert enthalt und von der Datenzentrale gelesen 
wird, ebenfalls Bestandteil des verschlusselt ubermittel- 
ten Kombinationswertes. Nach der Entschlusselung des 
Kombinationswertes wird der Verbrauchssummenbe- 
trag abgetrennt und mit dem in der Frankiermaschine 45 
gespeicherten Verbrauchssummenbetrag verglichen. 
Ist der Vergleich positiv, wird die Sperre der Frankierma- 
schine automatisch aufgehoben. 
[0037] Durch diese Losung wird erreicht, daB sich 
die Frankiermaschine bei der Datenzentrale periodisch so 
meldet, um Abrechnungsdaten zu ubermitteln. Es sind 
jedoch Benutzungsfalle durchaus denkbar, wo das zu 
frankierende Postaufkommen schwankt (Saisonbe- 
trieb). In diesen Fallen wurde in nachteiliger Weise die 
Frankiermaschine unnotig oft blockiert werden. ss 
[0038] Es war die Aufgabe zu losen, die Nachteile 
des Standes der Technik zu uberwinden und einen 
signifikanten Zuwachs an Sicherheit ohne eine auBeror- 



dentliche Inspektion vor Ort zu erreichen. 

[0039] Die Aufgabe wird mit den Merkmalen des 

Anspruchs 1 gelost. 

[0040] Die erfindungsgemaBe Losung gent weiter- 
hin davon aus, daB die in der Frankiermaschine gespei- 
cherten Geldmittel vor unautorisiertem Zugriff 
geschutzt werden mussen. Die Verfalschung von in der 
Frankiermaschine gespeicherten Daten wird so weit 
erschwert, daB sich der Aufwand fur einen Manipulator 
nicht mehr lohnt. 

[0041] Handelsubliche OTP-Prozessoren (ONE 
TIME PROGRAMMABLE) konnen alle sicherheitsrele- 
vanten Programmteile im Inneren des Prozessorgehau- 
ses enthalten, auBerdem den Code zur Bildung des 
Message Authentification Code (MAC). Letzterer ist 
eine verschlusselte Checksumme, die an eine Informa- 
tion angehangt wird. Als Kryptoalgorithmus ist bei- 
spielsweise Data Encryption Standard (DES) geeignet. 
Damit lassen sich MAC- Informationen an die sicher- 
heitsrelevanten Registerdaten anhangen und somit die 
Schwierigkeit der Manipulation an den Postregistern 
maximal erhohen. 

[0042] Diese sicherheitsrelevanten Programmteile 
umfassen auch Programmteile fur eine FluBkontrolle, 
die die Anzahl der abgelaufenen Programmteile uber- 
wacht. Damit konnen Fehlfunktionen des Mikroprozes- 
sors oder in Falschungsabsicht vorgenommene 
Manipulationen aufgedeckt werden. Spezifische 
Rechenoperationen erlauben die Oberprufung, welche 
Programmteile wie oft benutzt wurden. 
[0043] Das Verfahren zur Verbesserung der Sicher- 
heit einer Frankiermaschine, welche zur Kommunika- 
tion mit einer entfernten Datenzentrale fahig ist und 
einen Mikroprozessor in einer Steuereinrichtung der 
Frankiermaschine aufweist, umfaGt ein Bilden etner 
Checksumme im OTP-Prozessor Ciber den Inhalt des 
externen Programmspeichers und Vergleich des Ergeb- 
nisses mit einem im OTP-Prozessor gespeicherten vor- 
bestimmten Wert vor und/oder nach Ablauf des 
Frankiermodus bzw. Betriebsmodus, insbesondere 
wahrend der Initialisierung (d.h. wenn die Frankierma- 
schine gestartet wird), Oder in Zeiten, in welchen nicht 
gedruckt wird (d.h. wenn die Frankiermaschine im 
Standby-Modus betrieben wird). Im Fehlerfafl erfolgt 
dann eine Protokollierung und anschlieBende Blockie- 
rung der Frankiermaschine. 

[0044] Vorteilhafte Weiterbildungen der Erfindung 
sind in den Unteranspruchen gekennzeichnet bzw. wer- 
den nachstehend zusammen mit der Beschreibung der 
bevorzugten Ausfuhrung der Erfindung anhand der 
Figuren naher dargestellt. Es zeigen: 

Figur 1a und 1b, Blockschaltbild einer Frankierma- 
schine mit erhohter Sicherheit 
Figur 1c, Schaltbild einer Detektor- 
einrichtung zur Ermittlung einer 
Offnung des Gehauses 
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Figur 2a, Ablaufplan nach einer ersten Van- 

ante 

Figur 2b, Ablaufplan nach einer zweiten Vari- 

ante 

Rgur 3a und 3b, Darstellung der Sicherheitsablaufe 
der im Kommunikationsmodus 
befindlichen Frankiermaschine und 
Datenzentrum 

Rgur 4a, Ablaufplan fur den Frankiermodus 

nach einer ersten Variante 

Figur 4b, Ablaufplan fur den Frankiermodus 

nach einer zweiten Variante 

Figur 5, Ablaufplan fur eine erste Sleeping- 

Mode-Variante 

Figur 6, Ablaufplan fur eine zweite Slee- 

ping-Mode-Variante 

Figur 7, Ablaufplan zur Codeworteinbrin- 

gung 

[0045] Die Figuren 1a und 1b zeigen je ein Block- 
schaltbild der erfindungsgemaBen Frankiermaschine 
mit einem Druckermodul 1 fur ein vollelektronisch 
erzeugtes Frankierbild, mit mindestens einem mehrere 
Betatigungselemente aufweisenden Eingabemtttel 2, 
einer Anzeigeeinheit 3, einem Offnungsversuche detek- 
tierenden Sensor 21 und einem die Kommunikation mit 
einer Datenzentrale herstellenden MODEM 23, welche 
uber einen Ein/Ausgabe-Steuermodul 4 mit einer Steu- 
ereinrichtung 6 gekoppelt sind und mit einem nichtfluch- 
tigen Speicher 5 bzw. 11 fur die variablen bzw. die 
konstanten Teile des Frankierbildes. 
[0046] Ein Charakterspeicher 9 liefert die notigen 
Druckdaten fur einen fluchtigen Arbeitsspeicher 7. Die 
Steuereinrichtung 6 weist einen Mikroprozessor jiP auf, 
der mit dem Ein/Ausgabe-Steuermodul 4, rnit dem Cha- 
rakterspeicher 9, mit dem fluchtigen Arbeitsspeicher 7 
und mit dem nichtfluchtigen Arbeitspeicher 5, mit einem 
Kostenstellenspeicher 10, mit einem Programmspei- 
cher 1 1 , mit dem Motor einer Transport- bzw. Vorschub- 
vorrichtung ggf. mit Streifenauslosung 12, einem 
Encoder (Codierscheibe) 13 sowie mit einem 
Uhren/Datums-Baustein 8 in Verbindung steht. Die ein- 
zelnen Speicher konnen in mehreren physikalisch 
getrennten oder in nicht gezeigter Weise in wenigen 
Bausteinen zusammengefaBt verwirklicht sein, welche 
durch mindestens eine zus§tz(iche MaBnahme, bei- 
spieisweise Aufkleben auf der Leiterplatte, Versiegeln 
oder VergieGen mit Epoxidharz, gegen Entnahme gesi- 
chert sind. 

[0047] In der Figur 1 a wirkt der Sensor 21 auf eine 
Detektoreinrichtung 20, welche uber den Ein/Ausgabe- 



Steuermodul 4, nach dem Einschalten der Frankierma- 
schine mit einem Codewort Y unter vorbestimmten 
Bedingungen geladen wird, welches wahrend des 
Betriebes der Frankiermaschine ausgelesen und auf 
5 Guftigkeit uberpruft wird. Wie die Detektoreinrichtung 
20 mit einem Codewort Y geladen wird, wird nachfol- 
gend anhand der Figur 1c in Verbindung mit den Darle- 
gungen zur Figur 2 erlautert. 

[0048] Die Figur 1c zeigt ein Schaltbild einer Detek- 
10 toreinrichtung 20 zur Ermittiung einer Offnung des 
Gehauses. Diese Detektoreinrichtung 20 umfaBt min- 
destens einen statischen Speicherbaustein 24 (SRAM) 
fur das Codewort Y, einen Umschalter 25 und eine Pri- 
marbatterie 26, insbesondere eine Lithium-Zelle. 
75 [0049] Der Umschalter 25 verbindet eine Netzteil- 
ausgangsspannung V^+SVmit dem SRAM 24, 
wenn die Frankiermaschine eingeschaltet betrieben 
wird. 1st die Frankiermaschine ausgeschaitet bzw. die 
Stromversorgung unterbrochen, wird das SRAM 24 aus 
20 der Primarbatterie 26, vorzugsweise mit einer Span- 
nung von +3V versorgt. Damit bleibt der Speicherinhalt 
im SRAM sofange erhalten, bis uber den Sensor 21 
oder durch die Primarbatterie 26 die Versorgung einge- 
stelit wird. 

25 [0050] In einer Vorzugsvariante ist ein solcher Sen- 
sor ein elektrisch leitender Streifen, der den Kontakt 
zwischen der Langzeitbatterie (Lithium-Batterie) und 
den zu versorgenden Einrichtungen 25 bzw. 24, die als 
Speicherbaustein (CMOS-SRAM) fur das Codewort Y 

30 ausgefuhrt ist, herstellt. Ein Schalter 27 ist mit der von 
der Umschalteinrichtung 25 gelieferten Versorgungs- 
spannung uber einen Widerstand R und mit Masse- 
Potential verbunden. 

[0051] Der Abgriff zwischen dem Widerstand R und 

35 dem Schalter 27 fuhrt auf den Rucksetzeingang des 
Speicherbausteins 24 fur das Codewort Y. Der Schalter 
27 kann beispielsweise ein npn-Transistor sein, der mit 
seinem Kollektor am Rucksetzeingang angeschlossen 
ist und mit seinem Emitter, auf Masse-Potential liegt. 

40 Seine Basis ist uber einen Impedanzwandler mit dem 
BC-Eingang der Umschalteinrichtung 25 verbunden, 
welcher uber den Sensor 21 mit dem +■ Pol der Batterie 
26 verbunden ist. Der Impedanzwandler ist ein Negator 
in CMOS-3V-Technik. Die Umschalteinrichtung 25, 

45 wofur vorzugsweise der Baustein bq 2201 eingesetzt 
wird, liefert wahrend des Betriebes der Frankierma- 
schine eine Netzteilspannung V CC = +5V und wahrend 
des Nichtbetriebes eine Batteriespannung von +3 V, urn 
den Speicherinhalt zu erhalten. Wird der Sensor 21 

so wahrend des Nichtbetriebes aktiviert, fehlt die Spei- 
cherinhalterhaltungsspannung. Wird der Sensor 21 
aber wahrend des Betriebes aktiviert, wird der Spei- 
cherinhalt uber den Rucksetzeingang geloscht. 
[0052] In einer - in der Figur 1c nicht gezeigten - 

55 modifizierten Variante kann mittels des Sensors 21 
auch eine andere Verbindung unterbrochen werden, 
worauf die Detektoreinrichtung 20 reagiert. Solch ein 
elektrisch leitender Streifen kann manuell fur jede 
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Maschine individuell anders verlegt sein. Wesentlich ist 
hierbei, daG jegliches Offnen des Gehauses den Strei- 
fen bewegt und somit den vorgenannten Kontakt unter- 
bricht. 

[0053] Der Streifen wird beispielsweise beim 5 
Zusammenbau zunachst locker verlegt und erst nach 
dem Zusammenbau bzw. kurz vor dern endgultigen 
Schlief3en der Gehauseschalen straff gezogen, d.h. der 
vorgenannte Kontakt wird hergesteilt. 

[0054] Eine vorteilhafte weitere Sensor-Variante 10 
besteht in der Ausbildung der Gehauseschalen als 
Sicherheitskapsel. 

[0055] Die Sicherheitskapsel ist mit maanderformi- 
gen Leiterbahnen ausgebildet, durch welche ein gerin- 
ger Oberwachungsstrom bzw. Ladungserhaltungsstrom is 
fur ein CMOS-RAM flieBt. Jede Offnung fuhrt zu einer 
Stromunterbrechung. Damit geht eine Information ver- 
loren, die der Manipulator nicht ersetzen kann. Nach 
dem SchlieGen des Gehauses verhindert die System- 
routine, daG die Maschine in den Frankiermodus 20 
gelangt. 

[0056] In der Figur 1b ist eine zweite Variante mit 
direkt an den Mikroprozessor der Steuereinrichtung 
angekoppelter Einrichtung 20 dargesteilt, welche eben- 
falls durch einen Sensor 21 beeinfluBbar ist. Der Sensor 25 
21 und die Detektoreinrichtung konnen auf unterschied- 
liche Weise realisiert werden. 

[0057] So verwendet eine weitere Variante der 
Detektoreinrichtung 20 ein programmierbares Logikar- 
ray, welche durch den Sensor 21 beeinfluBbar ist. Der 30 
Sensor bewirkt uber die Einrichtung eine andere Pro- 
grammverzweigung wahrend des Ablaufes der System- 
routine. Nach dem SchlieGen des Gehauses verhindert 
dann die Systemroutine abermals, daG die Maschine in 
den Frankiermodus gelangt. 35 
[0058] In der Figur 2a ist ein Ablaufplan fur eine 
Frankiermaschine mit ein em Sicherheitssystem nach 
einer ersten Variante dargesteilt. Es ist standig bei 
Betrieb und Nichtbetrieb der Frankiermaschine ein 
Schritt 210 vorgesehen, wenn durch einen Sensor 21 40 
ein Offnen der Frankiermaschine festgestellt wird. 
[0059] Nach dem Einschalten der Frankierma- 
schine im Schritt Start 100 wird anschlieGend innerhalb 
einer Startroutine 101 eine Funktionsprufung mit 
anschlteBender Initialisierung vorgenommen. 45 
[0060] Im nachfolgenden - mehrere, in der Figur 7 
naher dargestellte, Subschritte 102 bis 105 umfassen- 
den - Schritt wird ein neues Codewort Y'- jedoch nur, 
wenn gemaG Schritt 102 ein solches in einem anderen 
vorbestimmten Speicherplatz E des nichtfluchtigen so 
Speichers 5 existiert - in den Speicherplatz des alten 
Codewortes Y kopiert (Schritt 103), falls dort kein gulti- 
ges Codewort Y mehr gespeichert vorliegt. Letzteres 
betrifft gleichermaGen den Fall einer autorisierten als 
auch unautorisierten Offnung, weil bei jeder Offnung 55 
des Gehauses das alte Codewort Y geloscht wird. Bei 
Nichtaffnung wird nicht kopiert und nach Schritt 104 
bleibt das alte Codewort im Speicher 20 erhalten. Nun 



wird am Punkt s die Systemroutine 200 erreicht. Diese 
umfaGt mehrere Schritte 201 bis 21 5 des Sicherheitssy- 
stems. Im Schritt 201 erfolgt der Aufruf aktueller Daten, 
was wetter unten in Verbindung mit der Erlauterung zu 
den Figuren 5 und 6 naher fur den Sleeping-Mode aus- 
gefuhrt wird. 

[0061] Nachfolgend wird - wie in der Figur 2a dar- 
gesteilt - im Schritt 202 uberpriift, ob die Kriterien fur 
den Eintritt in den Sleeping-Mode erfullt sind. Ist das der 
Fall wird zum Schritt 203 verzweigt, urn mindestens 
eine Warnung mittels der Anzeigeeinheit 3 anzuzeigen. 
Dabei kbnnen weitere Schritte 204 bis 206 durchlaufen 
werden, bevor zum Schritt 207 verzweigt wird. Ist das 
aber nicht der Fall wird ebenfalls zum Schritt 207 ver- 
zweigt. Nach den o.g. Schritte n wird im jeden Fall der 
Punkt t erreicht. 

[0062] Im Schritt 207 wird - wie das in der europai- 
schen Anmeldung mit dem amtlichen Aktenzetchen 
93103951.5 naher erlautert wird - mindestens eine 
Registerprufung der Datenstruktur der Postregister 
durchgefuhrt, um die Fehlerzu protokollieren. Im Schritt 
208 werden daruber hinaus MaGnahmen ergriffen, um 
die Frankiermaschine bei Registerdatenstrukturfehlern 
zu sperren. 

[0063] Naturlich konnte ein Betruger, der in die 
Frankiermaschine einbricht, eine solche Manipulation 
ausfuhren, um die Postregister stimmig zu verandern. 
Diese Manipulation konnte erst in Verbindung mit den 
Daten der Datenzentrale bei der nachsten Fernabfrage 
der Register aufgedeckt werden, falls sie nicht vorher 
ruckgangig gemacht wird, denn ein Manipulator ist 
bestrebt, seine Spuren zu verwischen. Deshalb ist erfin- 
dungsgemaB vorgesehen, daB mindestens noch eine 
Uberprufung erfolgt, ob ein gultiger Code Y im vorbe- 
stimmten Speicherplatz der Einheit 20 vorliegt, Ist das 
nicht der Fall, wird zum Schritt 208 verzweigt. 
[0064] Die Uberprufung auf gultigen Code Y wird 
beispielsweise mittels einem ausgewahlten Priifsum- 
menverfahren innerhalb eines OTP-Prozessors (ONE 
TIME PROGRAMMABLE) durchgefuhrt, der intern die 
entsprechenden Programmteile und auGerdem den 
Code zur Bildung eines MAC (MESSAGE AUTHENTI- 
FICATION CODE) gespeichert enthalt, weshalb der 
Manipulator die Art des Prufsummenverfahrens nicht 
nachvollziehen kann. Auch weitere sicherheitsrelevante 
Schiusseldaten und Ablaufe sind ausschlieGlich in Inne- 
ren des OTP-Prozessors gespeichert, um eine MAC- 
Absicherung uber die Postregister zu legen. 
[0065] Eine weitere Sicherungsvariante, welche 
ohne OTP-Prozessor auskommt, besteht im Erschwe- 
ren des Auffindens der Schliissel durch dessen Kodie- 
rung und partielle Ablage in unterschiedlichen 
Speicherbereichen. Wieder werden MAC an jede Infor- 
mation in den sicherheitsrelevanten Registern ange- 
hangt. Eine Manipulation der Registerdaten kann durch 
Kontrolle uber den MAC erkannt werden. Diese Routine 
erfolgt im Schritt 406 im Frankiermodus, der in den 
Figuren 4a, b dargesteilt ist. Damit laGt sich die Schwie- 
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rigkeit der Manipulation an den Postregistern maximal 
erhohen. 

[0066] Mit dem Schritt 208 ist der Killmode erreicht 
und die Frankiermaschine ist gesperrt. Im Schritt 208 
werden vorzugsweise die Postregister in vorbestimmter 5 
Weise teilweise geloscht. Uber den Schritt 21 3 wird der 
Anzeigemodus 215 erreicht und dann zur Systemrou- 
tine zuruckverzweigt. Das Sperren kann vorteilhaft 
erfolgen, indem die Verzweigung auf den Frankiermo- 
dus 400 nicht mehr ausgefuhrt wird. io 
[0067] Bei erfolgter Prufung im Schritt 207, ohne 
daB relevante Mangel festgestellt wurden, wird der 
Punkt e, d.h. der Beginn eines Kommunikationsmodus 
300 erreicht und in einem - in den Rguren 2a, b und 3a 
dargestellten - Schritt 301 abgefragt, ob ein Transakti- is 
onsersuchen vorliegt. Ist das nicht der Fall, wird der 
Kommunikationsmodus 300 verlassen und der Punkt f, 
d.h. der Betriebsmodus 290 erreicht. Wurden relevante 
Daten im Kommunikationsmodus ubermittelt, dann ist 
zur Datenauswertung auf den Schritt 213 zu verzwei- 20 
gen. Oder anderenfalls, wenn im Schritt 211 die Nicht- 
ubermittlung festgestellt wird, ist auf den Schritt 212 zu 
verzweigen. Nun wird uberpruft, ob entsprechende Ein- 
gaben getatigt worden sind, um bei Testanforderung 

212 in den Testmodus 216, anderenfalls um bei beab- 25 
sichtigter Registerstanduberprufung 214 in einen 
Anzeigemodus 215 zu gelangen. Ist das nicht der Fall, 
wird automatisch der Punkt d, d.h. der Frankiermodus 
400 erreicht. 

[0068] Es ist weiterhin vorgesehen, daB im Schritt 30 

213 eine Statistik- und Fehlerauswertung durchgefuhrt 
wird, um we'ttere aktuelle Daten zu gewinnen, welche 
nach Verzweigung zur Systemroutine 200 in Schritt 201 
ebenfalls aufrufbar sind. 

[0069] Im Falle einer Offnung des Frankienmaschi- 35 
nengehSuses durch dazu befugte Personen ist eine 
schriftliche ggf. fernmundltche Anmeldung im Daten- 
zentrum zur autorisierte Offnung erforderlich, welche 
das Offnungsdatum und die Uhrzeit fur den ungefahren 
Offnungsbeginn mitteilt. Bevor dann die Frankierma- 40 
schine tatsachlich geoffnet werden kann, muG uber 
MODEM eine Kommunikation mit dem Datenzentrum 
aufgenommen werden, um die Offnungsbefugnis zu 
ersuchen und einen neuen zukunftigen Code Y' zu 
laden, der den alten ersetzen kann. 45 
[0070] In den Figuren 3a und 3b erfolgt eine Dar- 
stellung der Sicherheitsablaufe der im Kommunikations- 
modus befindlichen Frankiermaschine einerseits und 
der Sicherheitsablaufe der im Kommunikationsmodus 
befindlichen Datenzentrale andererseits. 50 
[0071] Wird der Punkt e, d.h. der Beginn des nach- 
folgend erlauterten Kommunikationsmodus 300 
erreicht, wird in einem - in den Figuren 2 und 3a darge- 
stellten - Schritt 301 abgefragt, ob ein Transaktionsersu- 
chen vorliegt. Ein solches kann beispielsweise zur 55 
Guthabennachladung, Telefonnummernanderung u.a. 
gestellt werden. 

[0072] Der Benutzer wahlt den Kommunikations- 



bzw. Fernwertvorgabemodus der Frankiermaschine 
uber die Eingabe der Identifrkationsnummer (achtstelli- 
gen Portoabrufnummer) an. Es wird nun beispielsweise 
angenommen, es soli die Kommunikation erfolgen, um 
einen neuen zukunftigen Code Y' zu laden, der den 
alten ersetzen kann. Wird nur ein solches Transaktions- 
ersuchen gestelit, muG der Vorgabebetrag auf Null 
geandert werden, denn in diesem Fall muB das Gutha- 
ben in der Frankiermaschine naturlich nicht aufgestockt 
werden. 

[0073] Im Schritt 302 kann eine Eingabe der Identi- 
fikations-Nummer (ID-Nr.) und der beabsichtigten Ein- 
gabeparameter auf folgende Weise erfolgen. Bei der ID- 
Nr. kann es sich um die Serien-Nummer der Frankier- 
maschine, um eine PIN bzw. PAN (Portoabrufnummer) 
handeln, die durch Betatigung mittels vorbestimmter T- 
Taste des Eingabemittels 2 quittiert wird. In der Anzei- 
geeinheit 3 erscheint de r bei der letzten Fern- 
wertvorgabe(Nachladung) benutzte Eingabe- 
parameter Vorgabewert), der nun durch die Eingabe 
des gewunschten Eingabeparameters uberschrieben 
oder beibehalten wird. Beim Eingabeparameter handelt 
es sich um eine Zahlenkombination, welche in der 
Datenzentrale als Aufforderung verstanden wird, ein 
neues Codewort Y" zu ubermitteln, wenn zuvoreine Off- 
nungsbefugnis eingeholt worden ist. Bei Falscheingabe 
des vorgenannten Eingabeparameters kann die 
Anzeige durch Drucken einer C-Taste geloscht werden. 
[0074] Beispielsweise wird eine Anderung eingege- 
ben, um bei einer Transaktion ein Guthaben mit dem 
Wert Null zu laden, aber es wird keine Offnungsbefug- 
nis zuvor eingeholt. Somit client der Eingabeparameter 
nur als neuer Vorgabewert. Dabei wird aber weder das 
Guthaben fur Frankierungen wertmaBig erhoht, wenn 
der Eingabeparameter den Wert Null hat, noch ein 
neues Codewort geladen. Jedoch kann bei jeder Kom- 
munikation eine Stuckzahl S'ubermittelt werden. 
[0075] Nur durch das vorhergehende Anmelden, 
beispielsweise mittels eines separaten Anrufes bei der 
Datenzentrale Oder einer anderen Kommunikations- 
form, wird der Datenzentrale mitgeteilt, daB ein neues 
Codewort Y' zur Frankiermaschine Obermittelt werden 
soli, wenn anschlieBend innerhalb einer vorbestimmten 
Zeitdauer seitens der Frankiermaschine eine Transak- 
tion fur den Wert Null gestartet wird. Das Offnungsge- 
such gilt nur dann als gestellt, wenn nach dem 
Anmelden einer autorisierten Offnung die Frankierma- 
schine in den so vereinbarten Kommunikationsmodus 
eintritt. 

[0076] Wird aber zuvor ein beliebig anderer Einga- 
beparameter mit der Datenzentrale vereinbart, erfolgt 
bei Eingabe dieses Eingabeparameters auBer der 
Nachladung des Guthabens entsprechend des durch 
den Eingabeparameter eingegebenen Vorgabewertes 
auch noch - wahrend einer zusatzlichen Transaktion - 
das Nachladen eines neuen zukunftigen Code Y\ 
[0077] Wird ein anderer Eingabeparameter als der 
vereinbarte eingegeben, fuhrt dies im Ergebnis lediglich 
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zur Nachladung in Hone des gewahlten neuen Vorga- 
bebetrages. 

[0078] 1st der gewunschte Eingabeparameter rich- 
tig angezeigt, wird dies durch erneutes Betatigen der 
vorbestimmten T-Taste des Eingabemittels 2 bestatigt. 
in der Anzeigeeinheit 3 erscheint dann eine Darstellung 
entsprechend einer Eingabeparameteranderung oder 
entsprechend der Nichtanderung (alter Vorgab ewe rt). 
[0079] Durch Betatigung der vorbestimmten T-Taste 
wird die Veranderung des Eingabeparameters uber 
MODEM-Verbindung gestartet. Die Eingabe uberpruft 
(Schritt 303) und der weitere Vorgang lauft automatisch 
ab, wobei der Ablauf durch eine entsprechende Anzeige 
begieitet wird. 

[0080] Dazu pruft die Frankiermaschine, ob ein 
MODEM angeschlossen und betriebsbereit ist. 1st das 
nicht der Fall, wird auf den Schritt 310 verzweigt, um 
anzuzeigen, daB das Transaktionsersuchen wiederholt 
werden muB. Anderenfalls liest die Frankiermaschine 
die Wahlparameter, bestehend aus den Herauswahlpa- 
rametern (HauptVNebenstelle, usw.) und der Telefon- 
nummer aus dem NVRAM -Spetcherbereich F und 
sendet diese mit einem Wahlaufforderungskommando 
an das Modern 23. AnschlieBend erfolgt der fur die 
Kommunikation erforderliche Verbindungsaufbau uber 
das MODEM 23 mit der Datenzentrale in einem Schritt 
304. 

[0081] In der Figur3a ist auf der linken Halfte eben- 
falls der parallel erfolgende Ablauf in der Datenzentrale 
dargestellt, welcher fur die Kommunikation notwendig 
ist. Im Schritt 501 wird standig gepruft, ob ein Anruf in 
der Datenzentrale erfolgt ist. Ist das der Fall, und das 
MODEM 23 hat die Gegenseite angewahlt, erfolgt im 
Schritt 502 parallel der Verbindungsaufbau auch in der 
Datenzentrale. Und im Schritt 503 wird standig uber- 
wacht, ob die Verbindung zur Datenzentrale geldst 
wurde. Ist das der Fall, erfolgt nach einer Fehlermel- 
dung im Schritt 513 eine Ruckverzweigung zum Schritt 
501. 

[0082] Parallel dazu wird in der Frankiermaschine 
im Schritt 305 tiberwacht, ob Kommunikationsfehler 
aufgetreten sind und gegebenenfalls zum Schritt 304 
zuruckverzweigt, um seitens der Frankiermaschine die 
Verbindung erneut aufzubauen. Nach einer vorbe- 
stimmten Anzahl n ergebnisloser Wahlwiederholungen 
zwecks Verbindungsaufbau wird uber einen Anzeige- 
schritt 310 auf den Punkt e zuruckverzweigt. Lag kein 
im Schritt 305 ermittelbarer Fehler vor, wird im Schritt 
306 seitens der Frankiermaschine festgestellt, daf3 die 
Verbindung aufgebaut ist und eine Transaktion erst 
noch erfolgen soil, wird auf den Schritt 307 verzweigt, 
um eine Eroffnungsnachricht bzw. um identifikations-, 
Vorspann- bzw. Registerdaten zu senden. Im nachfol- 
genden Schritt 308 wird die gleiche Oberprufung, wie im 
Schritt 305 durchgefuhrt, d.h. bei einem aufgetretenen 
Kommunikationsfehler wird zum Schritt 304 zuruckver- 
zweigt. Anderenfalls wurde eine Er6ffnungsnachricht 
von der Frankiermaschine an die Datenzentrale 



geschickt. Darin ist u.a. die Portoabrufnummer zur 
Bekanntmachung des Anrufenden, d.h. der Frankier- 
maschine, bei der Datenzentrale enthalten. 
[0083] Diese Eroffnungsnachricht wird in der 
5 Datenzentrale im Schritt 504 auf Plausibilitat uberpruft 
und weiter ausgewertet, indem anschlieBend im Schritt 

505 wieder uberpruft wird, ob die Daten fehlerfrei uber- 
mittelt worden sind. Ist dies nicht der Fall, erfolgt eine 
Ruckverzweigung zur Fehlermeldung auf den Schritt 

10 513. Sind andererseits die Daten fehlerfrei und in der 
Datenzentrale wird erkannt, daB die Frankiermaschine 
ein Offnungsersuchen gestellt hat und ein neues Code- 
wort Y' abfordert, so wird im Schritt 506 eine Erwide- 
rungsnachricht zur Frankiermaschine als Vorspann 

15 gesendet. Im Schritt 507 wird uberpruft, ob im Schritt 

506 die Vorspannmeldung einschlieBlich Vorspann- 
Ende gesendet worden ist. Ist das aber nicht der Fall, 
dann wird auf den Schritt 51 3 zuruckverzweigt. 
[0084] In der Frankiermaschine wird im Schritt 309 

20 gepruft, ob von der Datenzentrale inzwischen ein Vor- 
spann als Erwiderungsnachricht gesendet bzw. emp- 
fangen wurde. Ist das nicht der Fall, wird zur Anzeige 
auf den Schritt 31 0 zuruckverzweigt und danach erneut 
ein Transaktionsersuchen im Schritt 301 abgefragt. 
25 Wurde ein Vorspann empfangen und die Frankierma- 
schine hat eine OK-Meldung e marten, erfolgt im Schritt 
311 eine Oberprufung der Vorspannparameter htnsicht- 
lich einer Telefonnummernanderung. Wenn ein ver- 
schlusselter Parameter ubermittelt wurde, liegt keine 
30 Telefonnummernanderung vor und es wird auf den 
Schritt 313 in der Figur 3b verzweigt. 
[0085] In der Figur 3b erfolgt eine Darstellung der 
Sicherheitsablaufe der im Kommunikationsmodus 
befindlichen Frankiermaschine und parallel dazu derje- 
35 nigen in der Datenzentrale. 

[0086] Im Schritt 313 wird von der Frankierma- 
schine an die Datenzentrale eine Beginnmeldung ver- 
schlusselt gesendet. Im Schritt 314 wird die Meldung 
auf Kommunikationsfehler uberpruft. Liegt ein Kommu- 
40 nikationsfehler vor, wird zum Schritt 304 zuruckver- 
zweigt und es erfolgt erneut ein Versuch, die 
Verbindung zur Datenzentrale aufzubauen, um die 
Beginn-Meldung verschltisselt zu senden. 
[0087] Von der Datenzentrale wird diese verschlus- 
45 selte Beginn-Meldung empfangen, wenn im Schritt 506 
die Vorspann-Meldung vollstandig gesendet worden 
war und im Schritt 507 das Vorspann-Ende ubermittelt 
worden ist. Im Schritt 508 wird in der Datenzentrale 
uberpruft, ob diese die Beginn-Meldung erhalten hat 
so und die Daten in Ordnung sind. Ist das nicht der Fall, 
wird im Schritt 509 uberpruft, ob der Fehler behebbar 
ist. Ist der Fehler nicht behebbar, wird auf den Schritt 
513 verzweigt. Anderenfalls wird im Schritt 510 eine 
Fehlerbehandlung durchgefuhrt und auf den Schritt 507 
55 verzweigt. Wird im Schritt 508 der Empfang ordnungs- 
gemSBer Daten festgestellt, beginnt die Datenzentrale 
im Schritt 51 1 eine Transaktion durchzufuhren. Im vor- 
genannten Beispiel wird ein neues Codewort Y' ver- 
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schlusselt zur Frankiermaschine ubertragen, welche im 
Schritt 315 die Transaktionsdaten empfangt. 
[0088] Im nachfoJgenden Schritt 316 werden die 
Daten gepruft. Liegt ein Fehlervor, wird auf den Schritt 
310 zuruckverzweigt. Anderenfalls wird auf die Ende- 5 
Meldung gewartet, die die Datenzentrale im Schritt 512 
verschlusselt an die Frankiermaschine sendet. Nach 
Empfang dieser Ende-Meldung im Schritt 317 wird im 
Schritt 31 8 ebenfalls in der Frankiermaschine die Trans- 
aktion durchgefuhrt. Ein neues Codewort Y' liegt nun in 10 
der Frankiermaschine gespeichert vor und es wird zum 
Schritt 305 zuruckverzweigt. Soli keine weitere Transak- 
tion erfolgen, wird zur Anzeige der Schritt 310 und 
danach Schritt 301 erreicht. 

[0089] Wenn nun kein Transaktionsersuchen 75 
gestellt wird, wird im Schritt 21 1 uberpruft, ob Daten 
ubermittelt worden sind. Wurden Daten ubermittelt, wird 
der Schritt 213 erreicht. Entsprechend des Eingabe- 
wunsches plazrert die Frankiermaschine das neue 
Codewort Y' beispielsweise im Speicherbereich E des 20 
nichtfluchtigen Speichers 5. 

[0090] Wird als Eingabeparameter im Schritt 302 
aber eine andere Zahlenkombination ats Null eingege- 
ben und die Eingabe war in Ordnung (Schritt 303), 
erfolgt ein Verbindungsaufbau (Schritt 304). Und wenn 25 
ohne Fehler (Schritt 305) eine Verbindung aufgebaut 
vorliegt (Schritt 306), wird eine Idenfrfizierungs- und 
Vorspann-Meldung an die Datenzentrale gesendet. In 
dieser Erdffnungsnachricht ist wieder u.a. auch die Por- 
toabrufnummer PAN zur Identifizierung der Frankierma- 30 
schine bei der Datenzentrale enthaiten. Die 
Datenzentrale erkennt aus der eingegebenen Zahlen- 
kombination, falls die Daten fehlerfrei sind (Schritt 505), 
daB in der Frankiermaschine beispielsweise ein Gutha- 
ben aufgestockt aber kein neues Codewort Y' ubermit- 35 
telt werden soli. 

[0091] Hat sich inzwischen die aktuelle Teiefon- 
nummer der Datenzentrale geandert, mussen MaBnah- 
men ergriffen werden, da3 diese in der 
Frankiermaschine gespeichert wird. Im Schritt 506 wird 40 
dann von der Datenzentrale eine Erwiderungsnachricht 
mit den Elementen Anderung der Telefonnummer und 
aktuelle Telefonnummer unverschlusselt gesendet. Die 
Frankiermaschine, die diese Meldung erhalt, erkennt im 
Schritt 311, daB die Telefonnummer geandert werden 45 
soil. Nun wird zum Schritt 312 verzweigt, um die aktu- 
elle Telefonnummer zu speichern. AnschlieBend wird 
auf den Schritt 304 zuruckverzweigt. 1st die Verbindung 
noch aufgebaut und ein Kommunikationsfehler liegt 
nicht vor (305), wird im Schritt 306 anschlieBend so 
gepruft, ob eine weitere Transaktion erfolgen soil. Wenn 
das nicht der Fall ist, wird uber den Schritt 310 zum 
Schritt 301 verzweigt. 

[0092] Nach erfolgter Abspeicherung der aktuellen 
Telefonnummer baut die Frankiermaschine automatisch 55 
eine neue Verbindung zur Datenzentrale unter Zuhilfe- 
nahme der neuen Telefonnummer auf. Die eigentliche, 
vom Benutzer beabsichtigte Transaktion, eine Fern- 



wertvorgabe des neuen Codewortes Y" oder eines 
Nachladeguthabens wird somit automatisch, d.h. ohne 
einen weiteren Eingriff durch den Benutzer der Fran- 
kiermaschine, durchgefuhrt. In der Anzeige erscheint 
eine entsprechende Mitteilung, daB aufgrund der Tele- 
fonnummernanderung die Verbindung automatisch neu 
aufgebaut wird. 

[0093] Es ist vorgesehen, daB nach einer Offnung 
des Gehauses, d.h. nach einem Eingriff, das Gehause 
der Frankiermaschine geschlossen wird und daB nach 
dem SchlieBen des Gehauses die Frankiermaschine in 
den Kommunikationsmodus 300 gesteuert wird. Der 
Berechtigte kann auch der Datenzentrale die beendete 
Oberprufung noch mitteilen. 

[0094] Eine Kommunikation kann eine Telefonnum- 
mernspeicherung, als auch eine Guthabennachladung 
umfassen. Ohne Unterbrechung der Kommunikation 
konnen so mehrere Transaktionen durchgefuhrt wer- 
den. Sol! die Hone des nachzuladenden Guthabens in 
der gleichen Hone verbleiben, wie bei der letzten Gut- 
habennachladung, ist nur eine Transaktion notwendig. 
Diese erfolgt in der gleichen Weise wie beim Nachladen 
eines neuen Codewortes Y 1 . Soil die Hone des nachzu- 
ladenden Guthabens aber geandert werden, sind zwei 
Transaktionen erforderlich. Beide Transaktionen erfol- 
gen auf die gleiche Weise wie beim Nachladen des 
neuen Codewortes Y\ Wahrend einer Transaktion wird 
eine Nachricht ubermittelt. Jede ubermittelte Nachricht 
ist einzeln verschlusselt Eine geiungene Transaktion 
lauft dabei wie folgt ab: Die Frankiermaschine schickt 
ihre ID-Nummer und einen Vorgabewert fur die Hdhe 
des gewunschten Nachladeguthabens zusammen mit 
einem MAC an die Datenzentrale. Diese pruft eine der- 
artige ubermittelte Nachricht gegen den MAC, um dann 
eine ebenfalls MAC-gesicherte OK-Meldung an die 
Frankiermaschine zu senden. Die OK-Meldung enthalt 
den Vorgabewert nicht mehr. 

[0095] Es ist vorgesehen, daB die Ubermittlung 
eines neuen Codewortes Y', eine Anderung der Gutha- 
bennachladehbhe und eines neuen Nachladegutha- 
bens in verschlusselter Form, aber die Ubermittlung von 
Telefonnummer in unverschlusselter Form erfolgt. Wird 
in der Datenzentrale festgestellt, daB die Verbindung 
zur Frankiermaschine gelost wurde (Schritt 503) Oder 
fehlerhafte Daten (505) bzw. nicht behebbare Fehler 
(509) vorliegen Oder kein Vorspannende gesendet 
wurde (507), ist die Kommunikation beendet. Nach 
einer Fehlermeldung erfolgt das Losen der Kommunika- 
tionsverbindung, das Speichern der ubermittelten 
Daten und deren Auswertung im Schritt 513 seitens der 
Datenzentrale. 

[0096] Ein Transaktionsersuchen fuhrt in der Fran- 
kiermaschine zu einer speziell gesicherten Guthaben- 
nachladung. Vorzugsweise erfolgt ein Absichern der 
auBerhalb des Prozessors im Kostenstellenspeicher 10 
vorliegenden Postregister auBerdem wahrend der Gut- 
habennachladung mittels einer Zeitsteuerung. Wird die 
Frankiermaschine beispielsweise mit einem Emula- 
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tor/Debugger observiert, dann ist es wahrscheinlich, 
daB die Kommunikations- und Abrechnungsroutinen 
nicht innerhalb einer vorbestimmten Zeit ablaufen. Ist 
das der Fall, d.h. die Routinen benotigen erheblich mehr 
Zeit, wird ein Teil des DES-Schlussefs geandert. Das 
Datenzentrum, kann diesen modifizierten Schlussel 
wahrend einer Kommunkikations routine feststellen und 
daraufhin die Frankiermaschine als suspekt melden, 
sobald gem33 Schritt 313 eine Beginn-Meldung ver- 
schlusselt gesendet wird. 

[0097] In der Datenzentrale wird im Schritt 509 fest- 
gestellt, daB der Fehler nicht behebbar ist. Die Daten- 
zentrale kann dann keine Transaktion (Schritt 511) 
durchfuhren, weil zum Schritt 513 zuruckverzweigt 
wurde. Da in der Frankiermaschine im Schritt 315 keine 
Daten empfangen wurden, war die Transaktion nicht 
fehlerfrei erfolgt (Schritt 316). Dann wird also uber den 
Schritt 310 auf den Schritt 301 zuruckverzweigt, urn 
nach einer Anzeige erneut zu prufen, ob ein Transakti- 
onsersuchen weiterhin gestellt wird. 
[0098] Ist das nicht der Fall, wird der Kommunikati- 
onsmodus 300 verlassen und der Punkt f, d.h. der 
Betriebsrnodus 290 erreicht. Somit konnten im oben 
erorterten Fall, mit modifizierten DES-Schlussel, keine 
Daten ubermitteit werden (Schritt 211). Ebenfalls wird 
davon ausgegangen, daf3 weder eine Testanforderung 
(Schritt 212) noch ein Registerabruf (Schritt 214) veran- 
laBt wurde, um das Restguthaben zu prufen. Dann aber 
wird der Frankiermodus 400 erreicht. 
[0099] In einer anderen Variante werden die fur die 
Obermittlung der fur eine Guthabennachladung erfor- 
derlichen Daten relevanten Schlussel (Krypto-Keys), 
welche im Speicher in kryptifizierter Form abgelegt wor- 
den sind, ebenfalls vollstandig geldscht, wenn ein 
unautorisierter Eingriff in die Frankiermaschine erfolgt. 
Wie bereits in Zusammenhang m"rt der Figur7 erlautert 
wurde, kann nach einem Offnungsersuchen die 6ff- 
nungsbefugnis erlangt werden, indem ein neues Code- 
wort Y' nachgeladen wird. In der Figur 7 wird ein 
entsprechender Ablaufplan zur Codeworteinbringung 
dargestellt. 

[0100] Eine weitere Moglichkeit zur Realisierung 
des Kitl-Modus ist das teilweise Lbschen der Postregi- 
sterstande, welche redundant gespeichert vorliegen. 
Dabei wird zielgerichtet in vorbestimmter Weise die 
Redundanz verringert. Dieses Verringern der Redun- 
danz soil sich unterscheiden von anderen Datenfehlern, 
die von der Frankiermaschine selbsttatig behoben wer- 
den konnen, wie das in der anhangigen europaischen 
Anmeldung mit dem amtlichen Aktenzeichen 93 103 
951 .5 naher ausgefuhrt wird, Dort wird ein Verfahren 
zur Speicherkorrektur sicherheitsrelevanter Daten in 
einer Frankiermaschine vorgeschlagen, wobei redun- 
dant abgespeicherte Daten untereinander verglichen 
werden, um einen Speicherbereich mit fehlerhaften 
Daten wieder mit fehlerfreien Daten zu laden. Das ist 
aber bei einem sechsten Fehlertyp nicht mehr mfiglich, 
weil alle redundant gespeicherten Daten nun unter- 



schiedliche Fehler haben, welche nicht mehr automa- 
tisch korrigiert werden konnen. Nur ein 
Servicetechniker konnte die Daten nach einer vorbe- 
stimmten Weise rekonstruieren, was dann nach jedem 
5 autorisiertem Offnen vor erneuter Inbetriebnahme der 
Frankiermaschine zu geschehen hat. 
[0101] Die Frankiermaschinen-Hardware ist auBer- 
dem in bekannter Weise durch eine verschlieBbare 
Klappe zugangig, welche uber einen Sicherheitsschlus- 
10 sei geoffnet werden mu3. Eine weitere Schwelie fur 
eine Manipulation ist das zuvor zu erbrechende Siegel 
bzw. die zu uberwindende Siegel-Nummer, welche 
auBerhalb der Frankiermaschine in der Datenzentrale 
ebenfalls gespeichert vorliegt. Die Datenzentrale gibt 
is eine Feedback-Information an das Postamt bzw. den 
Inspektor aus, der das Siegel vor Ort visuell kontrolliert 
und mit der angezetgten intern gespeicherten Siegel- 
Nummer vergleicht. 

[01 02] Die Sicherheit setzt bei der autorisierten Off- 
20 nung voraus, die Zuverlassigkeit der berechtigten Per- 
son (Service, Inspektor) und die Moglichkeit deren 
Anwesenheit zu uberprufen. Die Kontrolle des Siegels 
und die Kontrolle der Registerstande bei einer Inspek- 
tion der Frankiermaschine und unabhangig davon der 
25 Daten in der Datenzentrale ergibt dann die Uberpru- 
fungssicherheit. Die Kontrolle der frankierten Postguter 
unter Einbeziehung eines Sicherheitsabdruckes liefert 
eine zusatzliche Oberprufungssicherheit. 
[0103] Die Frankiermaschine fuhrt regelmSBig 
30 und/oder beim Einschalten den Registercheck durch 
und kann somit die fehlende Information erkennen, falls 
die Maschine unautorisiert geoffnet worden war. Die 
Frankiermaschine wird dann blockiert. Ohne die Erfin- 
dung in Verbindung mit einem Codewort Y wurde der 
35 Manipulator die Blockierung leicht uberwinden. So geht 
aber das Codewort verloren und es wurde dem Manipu- 
lator zuviel Zeit und Aufwand kosten, das gultige Code- 
wort durch Versuche zu ermitteln. In der Zwischenzeit 
ware die Frankiermaschine langst in der Datenzentrale 
40 als suspekt registriert. 

[0104] Der potentielle Manipulator einer Frankier- 
maschine muB mehrere Schwellen uberwinden, was 
naturlich einen gewissen Zeitaufwand bedarf. Erfolgt in 
gewissen Zeitabstanden keine Verbindungsaufnahme 
45 von der Frankiermaschine zur Datenzentrale, wird die 
Frankiermaschine bereits suspekt. Es ist dabei davon 
auszugehen, da(3 derjenige, der eine Manipulation an 
der Frankiermaschine begeht, sich kaum wieder bei der 
Datenzentrale melden wird. 
so [0105] Ein potentieller Betruger, der aus oben 
genannten Grunden nicht an die gespeicherten Daten 
gelangt, wird zusatzlich auch an einer Manipulation des 
Drucksteuersignals zum Druckkopf gehindert. Er 
konnte versucht sein, beim spaltenweisen Druck mani- 
55 pulierte variable Pixelbilddaten in das Drucksteuersi- 
gnal einzuschleusen. Die Frankiermaschine wird 
gewdhnlich mit hoher bis maximaler Druckgeschwindig- 
keit betrieben. Bei einer Manipulation des Drucksteuer- 
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signals fur den Druckkopf ergibt sich ein geanderter 
Zeitablauf, der nur bei geringerer Druckgeschwindigkeit 
vergleichbar simuliert werden konnte. 
[0106] Der Druckkopf ist in der Frankiermaschine 
derart angeordnet, daB er nicht ohne Transportvorrich- 5 
tung benutzt werden kann.um einen unabgerechneten 
Frankierstempel zu erzeugen. Eine solche Anordnung 
ist beispielsweise aus der US 4.705.417 ersichtlich. 
Jedoch sind auch andere Anordnungen mit Druckkop- 
fen, welche auf einem anderen Druckprinzip beruhen 10 
denkbar,welche ohne die Transportvorrrichtung nicht 
benutzt werden konnen. 

[0107] Da der Druckkopf ohne Transportvorrichtung 
nicht benutzt werden kann, um einen unabgerechneten 
Frankierstempel zu erzeugen, wird die Transportge- 75 
schwindigkeit bzw. die Druckgeschwindigkeit uber- 
wacht. Wird ein Thermotransferdrucker eingesetzt, 
genugt es die Bandgeschwindigkeit des Farbbandes, 
welche bereits uber einen Encoder gemessen wird, 
auszuwerten. Die Encoderimpulse werden innerhalb 20 
ernes Zeitfensters gezahft, weiches vom 
Uhren/Datums-Baustein 8 geliefert oder aus dem 
Systemtakt der Steuereinrichtung 6 abgeleitet wird. Der 
Systemtaktwird mittels eines - in den Figuren 1a und 1b 
nicht gezeigten - quarzgesteuerten Taktgebers erzeugt. 25 
Weicht die Anzahl an Encoder-lmpulsen von einer Soil- 
anzahl ab, wird der Motor 1 2 entsprechend nachgesteu- 
ert. Ist die Soll/Ist-Abweichung uber ein zulassiges MaB 
hinaus angestiegen, Negt ein Fehler vor. Dieser Fehler 
wird protokolliert und fuhrt gegebenenfalls zum AuGer- 30 
betriebsetzen der Frankiermaschine. 
[0108] Im Schritt 202 des - in der Figur 2a darge- 
stellten - Ablaufplanes kann dann uberpruft werden, ob 
die Druckgeschwindigkeit eingehalten wird bzw. ob 
diese vom zulassigen Wert abweicht. Ist dieses Krite- 35 
rium erfullt, erfolgt eine entsprechende Warnung in der 
Anzeige, welche bei Nichtbeachtung letztlich zur Blok- 
kierung der Frankiermaschine fuhrt. 
[0109] Eine andere Variante uberpruft den Zeitab- 
lauf beim spaltenweisen Druck, durch Vergleich der 40 
Zeitdauer fur den Druck der einzelnen Spalten, in wel- 
chen variable Daten vorkommen. Insbesondere kann 
die Anzahl von Taktimpulsen des quarzgesteuerten 
Taktgebers zwischen den einzelnen Encoderimpulsen 
gezahlt werden. In einem Schritt 207 kann dann uber- 45 
pruft werden, ob der Zeitablauf eingehalten wurde bzw. 
ob er vom zulassigen Zeitablauf abweicht. Ist dieses 
Kriterium erfuflt, erfolgt in einem weiteren Schritt 208 
eine MaBnahme zur Blockierung der Frankiermaschine. 
Die Druckgeschwindigkeit wird durch die erforderliche so 
Systemroutine bzw. Zeitdauer zur Sicherung der Fran- 
kiermaschine im Betriebsmodus kaum herabgesetzt. 
[0110] Durch ErschlieBung aller Zeitreserven wah- 
rend des Druckes, durch den Mikroprozessor der Steu- 
ereinrichtung, der die spaltenweise Einbettung von 55 
Fensterdaten durchfuhrt, bleibt kaum noch Raum bzw. 
Zeit fur eine Manipulation. Das Verfahren ist jedoch 
nicht auf derartige schnelle Frankiermaschinen 



beschrankt. Entscheidend ist die Uberwachung der 
Druckgeschwindigkeit auf eventuell durch Manipulatio- 
nen hervorgerufene Abweichungen im Zeitablauf, um 
neben den anderen bereits getroffenen Sicherheits- 
maGnahmen auGerdem eine Manipulation des Druckst- 
euersignals zu verhindern. 

[0111] Die Steuereinrichtung 6 weist einen Mikro- 
prozessor oder einen OTP auf. Im OTP sind neben 
einem Mikroprozessor auch nichtfluchtige Speicher und 
weitere Schaltungen in einem gemeinsamen Gehause 
untergebracht. Der interne nichtfluchtige Speicher 
umfaBt beispielsweise Programmspeicher und andere 
Datenspeicher, insbesondere auch die Moglichkeit 
Sicherungsbits zu setzen, die das Auslesen des inter- 
nen nichtfluchtigen Speichers von auGen verhindern. 
Diese Sicherungsbits werden wahrend der Herstellung 
der Frankiermaschine im OTP gesetzt. Das Observie- 
ren solcher sicherheitsrelevanter Routinen, wie bei- 
spielsweise Abrechnungsroutinen, mit einem 
Emulator/Debugger wurde ebenfalls zu einem veran- 
derten Zeitablauf fiihren, was durch den OTP feststell- 
bar ist. Dieser umfaBt auch eine Taktgeber/Zahler- 
Schaftung fur die Vorgabe von Zeitintervallen bzw. Takt- 
zyklen beispielsweise fur die Time-out-Generierung 
oder Druckersteuerung. Wenn eine bestimmte Zeit 
abgelaufen ist und das erwartete Ereignis nicht einge- 
treten ist, wird vom der Taktgeber/Zahler-Schaltung ein 
Interrupt generiert, der dem Mikroprozessor den ergeb- 
nislosen Ablauf der Zeitspanne meldet, woraufhin der 
Mikroprozessor weitere MaGnahmen veranlaBt. Es wird 
die Taktgeber/Zahler-Schaltung fur eine Programmlauf- 
zeituberwachung eingesetzt. Dabei wird von einer 
bekannten Anzahl von Taktzyklen fur den Programmab- 
lauf von vorbestimmten Programmteilen ausgegangen. 
Vor dem Start der Routine wird der Zahler der Taktge- 
ber/Zahler-Schaltung in vorbestimmter Weise voreinge- 
stellt bzw. zuruckgesetzt. Nach dem Start der 
Program mroutine wird entsprechend den Taktimpulsen 
des Taktgebers der Zahlerstand laufend verandert. 
Nach Abarbeitung der kritischen vorbestimmten Pro- 
grammteile wird derZustand des Zahlers vom Mikropro- 
zessor abgefragt und mit dem erwarteten Wert 
verglichen. 

[0112] Bei vorbestimmter Abweichung in der Lauf- 
zeit kritischer bzw. sicherheitsrelevanter Programmteile, 
wird ein Flag in einem Speicher gesetzt, welches im 
Schritt 207 abgefragt wird. Bei Vorliegen dieses Abfra- 
gekriteriums wird auf den Schritt 208 verzweigt. Die 
Frankiermaschine kann somit nicht weiterzum Frankie- 
ren betrieben werden (Kill Mode 1). 
[0113] Bei einer vorteilhaften weiteren Variante der 
Zeitkontrolle wird das Codewort Y im SRAM 24 uber die 
Steuerleitung C geldscht. Das kann in Verbindung mit 
der Adressenleitung A und der Datenleitung D durch 
Uberschreiben mit einem vorbestimmten anderen Wort, 
beispielsweise 0000 erfolgen. Der Vorteil liegt ins- 
besondere darin, daB selbst ohne einen Sensor 21 bzw. 
wenn aus irgendwelchen Grunden der Sensor 21 wir- 
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kungslos war, die Detektoreinrichtung 20 noch auf eine 
Manipulation reagiert, welcher naturlich ein unbefugtes 
Offnen vorausgegangen setn muB. 
[01 14] Andere Varianten bzw. eine Kombination mit 
anderen Varianten, wie beispielsweise das Ldschen s 
eines Teils des DES-Schlussel oder der redundanten 
Registerstande bzw. Loschen anderer Daten oder 
Schlussel, welche fur die Datenzentrale bei einer Trans- 
aktion Bedeutung haben, sind durch den Erfindungsge- 
danken eingeschlossen. Dabei ist wesentlich, da3 w 
kritische Programmteile im OTP gespeichert vorliegen 
und die Programmlaufzeituberwachungsmittei soft- 
ware- und/oder hardwaremaBige Bestandteile des OTP 
sind. Damit konnen mit diesen Programmteilen die 
extern vom OTP im Programmspeicher PSP 1 1 gespei- is 
cherten kritischen Programme uberwacht werden. Der 
Vorteil besteht darin, daB das Uberwachungsprogramm 
selbst nicht observiert oder manipuiert werden kann, da 
es standig im OTP verbleibt und auch nicht ausgelesen 
werden kann. In Kombination mit dem Sensor 21 wird 20 
somit eine hohere Sicherheit erreicht. 
[0115] In einer abgerusteten Variante wird der Sen- 
sor 21 eingespart, weil das Gehause anderweitig aus- 
reichend gesichert ist und die Oberwachungsfunktion in 
vorgenannter Weise durch die in Verbindung mit einer 25 
entsprechenden Software wirksame Detektoreinrich- 
tung 20 ubernommen wird. Die Detektoreinrichtung 20 
kann - in einer in der Figur 1 b nicht dargestellten Vari- 
ante - auch Bestandteil des Prozessors (OTP) sein. 
Diese Einrichtung 20 ist dabei vorzugsweise ais ein von 30 
extern nicht auslesbarer nichtfluchtiger Speicher ausge- 
bildet. Ein geeigneter Prozessortyp ist beispielsweise 
der TMS 370 C010 von Texas Instruments, welcher 
einen 256 Bytes E 2 PROM aufweist. Nimmt ein Manipu- 
lator einen unautorisierten Eingriff vor, wird die Fran- 35 
kiermaschine durch das Oberfuhren in den ersten 
Modus wirksam auBer Betrieb gesetzt. 
[0116] Bei einer Inspektion werden zunachst das 
Siegel der Frankiermaschine auf Unversehrtheit und 
dann die Registerstande uberpmft. Bei Bedarf kann ein 40 
Probeabdruck mit dem Wert 0 gemacht werden. Bei 
einer Reparatur durch den Service vor Ort muB eventu- 
ell in die Frankiermaschine eingegriffen werden. Die 
Fehlerregistersind beispielsweise mit Hilfe eines spezi- 
ellen Service-EPROM auslesbar, welches an die Stelle 45 
des Advert-EPROM gesteckt wird. Wenn auf diesen 
EPROM-Steckplatz vom Prozessor nicht zugegriffen 
wird, wird gewohnlich ein Zugriff auf die Datenleitungen 
durch spezielle - in den Figuren 1a und 1b nicht darge- 
stellte - Treiberschaltkreise verhindert. Die Datenleitun- so 
gen, welche hier durch eine versiegelte Gehausetur 
erreichbarsind, konnen somit nicht unbefugt kontaktiert 
werden. Eine andere Variante ist das Auslesen von 
Fehlerregisterdaten durch einen uber eine Schnittstelle 
angeschlossenen Service-Computer. Zur Vorbereitung 55 
des Eingriffs werden die Register der Frankiermaschine 
abgefragt, um die Art des erforderlichen Eingriffs zu 
ermitteln. Bevor in die Frankiermaschine eingegriffen 



und das Gehause geoffnet wird, erfolgt ein separater 
Anruf bei der Datenzentrale. Wird dannach innerhaib 
einer vorbestimmten Zeitdauer der Vorgabewert auf 
Null geandert und zur Datenzentrale im Rahmen einer 
Transaktion ubermittelt, d.h. die Art des Eingriffs und die 
Registerdaten wurden der Datenzentrale mitgeteilt, 
erfolgt ein Ubermitteln von Daten von einer Datenzen- 
trale zur Frankiermaschine entsprechend einem bean- 
tragten autorisierten Eingriff in die Frankiermaschine, 
welcher als erlaubter Eingriff protokolliert wird. 
[0117] Wird innerhaib einer vorbestimmten Zeit- 
dauer aber der Vorgabewert auf einen Wert verschie- 
den von Null geandert und zur Datenzentrale im 
Rahmen einer Transaktion ubermittelt, bleibt ein zuvor 
erfolgter separater Anruf zur Datenzentrale folgenlos, 
d.h. ein Offnungsgesuch gilt als nicht gestellt und eine 
Befugnis zum autorisierten Eingriff (Offnungsbefugnis) 
in die Frankiermaschine wird nicht ertetlt und folglich 
kein neues Codewort Y'ubermittelt. 
[0118] Die Frankiermaschine ist fahig, zu unter- 
scheiden zwischen beantragten autorisierten und 
unautorisierten Eingriff in die Frankiermaschine mittels 
der Steuereinheit der Frankiermaschine in Verbindung 
mit den von der Datenzentrale ubermittelten 
Daten.wobei bei unautorisierten Eingriff in die Frankier- 
maschine dieser Eingriff als Fehlerfall protokolliert wird, 
aber nach erfolgten autorisierten Eingriff in die Frankier- 
maschine der ursprungliche Betriebszustand mittels 
den vorgenannten ubermittelten Daten wiederherge- 
stellt wird. 

[0119] Es ist auBerdem auch in Zeiten in welchen 
nicht gedruckt wird (Standby Modus) vorgesehen, daB 
eine Abfrage hinsichtlich Manipulationsversuchen 
erfolgt und/oder die Checksumme der Registerstande 
und/oder uber den Inhalt des Programmspeichers PSP 
1 1 gebildet wird. Zur Verbesse rung der Manipulationssi- 
cherheit wird dabei fur einen Kill-Mode 2 die Check- 
summe im OTP uber den Inhalt des externen 
Programmspeichers PSP 1 1 gebildet und das Ergebnis 
mit einem im OTP gespeicherten vorbestimmten Wert 
verglichen. Dies erfolgt vorzugsweise im Schritt 101, 
wenn die Frankiermaschine gestartet wird, Oder im 
Schritt 213, wenn die Frankiermaschine im Standby- 
Modus betrieben wird. Der Standby-Modus wird 
erreicht, wenn eine vorbestimmte Zeit keine Eingabe- 
bzw. Druckanforderung erfolgt. Letzteres ist der Fall, 
wenn ein ansich bekannter - nicht naher dargestellter - 
Briefsensor keinen nachsten Briefumschlag ermittelt, 
welcher frankiert werden soil. Der - in der Figur 4b 
gezeigte - Schritt 405 im Frankiermodus 400 umfaBt 
daher noch eine weitere Abfrage nach einem Zeitablauf 
oder nach der Anzahl an Durchlaufen durch die Pro- 
grammschleife, welche letztendlich wieder auf die Ein- 
gaberoutine gemaB Schritt 401 fuhrt. Wird das 
Abfragekriterium erfullt, wird im Schritt 408 ein Standby- 
Flag gesetzt und direkt auf denPunktszur Systemrou- 
tine 200 zuruckverzweigt, ohne daB die Abrechnungs- 
und Druckroutine im Schritt 406 durchlaufen wird. Das 
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Standby- Flag wird spater im Schritt 21 1 abgefragt und 
nach der Checksummenprufung im Schritt 213 zuruck- 
gesetzt, falls kein Manipulationsversuch erkannt wird. 
[0120] Das Abfragekriterium in Schritt 211 wird 
dazu um die Frage erweitert, ob das Standby-Flag 5 
gesetzt ist, d.h. ob der Standby Modus erreicht ist. In 
diesem Fall wird ebenfalls auf den Schritt 21 3 verzweigt. 
Eine bevorzugte Variante besteht darin, in bereits 
beschriebenen Weise das Codewort Y zu loschen, 
wenn ein Manipulationsversuch im Standby Modus auf w 
vorgenannte Weise im Schritt 213 festgestellt worden 
ist. Das Fehlen des Codewortes Y wird im Schritt 207 . 
erkannt und dann auf den Schritt 208 verzweigt. Der 
Vorteil dieses Verfahrens in Verbindung mit dem ersten 
Modus besteht darin, daB der Manipulationsversuch 75 
statistisch im Schritt 213 erfaBt wird. 
[0121] Um die Sicherheit gegenuber Manipulatio- 
nen weiter zu erhohen wird erfindungsgemaB eine 
FluGkontrolle (Flow Control) eingesetzt, welche nachfol- 
gend erlautert wird. Eine solche Flow Control erfolgt 20 
durch Verandem eines Zahlwertes in einem Speicher 
an mindestens einem Punkt wahrend der Ausfuhrung 
der Programm routine. Nach Ausfuhrung der Programm- 
routine wird der veranderte Zahlwert mit einem dieser 
Programmroutine zugeordneten vorbestimmten Zahl- 25 
wert verglichen. Werden nun wahrend der Programm- 
ausfuhrung Verzweigungen durchlaufen, so konnen 
sich unterschiedliche Zahlwerte ergeben. In einer nach- 
folgenden Auswertung wird ein Plausibilitatstest durch- 
gefuhrt bzw. es kann festgestellt werden, welche 30 
Verzweigungen durchlaufen wurden. Das ist dadurch 
moglich, da die Veranderung des Zahlwertes durch eine 
Multiplikation mit einer bestimmten dem jeweiligen Pro- 
grammteil zugeordneten Primzahl erfolgt. Bei einer spa- 
teren Auswertung muB dann lediglich eine 35 
Primzahlzerlegung durchgefuhrt werden. 
[0122] In einer anderen Variante, wo nur solche 
Programrnteile ohne Verzweigungen beriicksichtigt 
werden bzw. keine Rtickverfolgung der durchlaufen en 
Programmzweige erforderlich wird, ist ein Inkrementie- 40 
ren des Zahlwertes und abschlieBender Vergleich mit 
mindestens einem vorbestimmten Zahlwert ausrei- 
chend. 

[0123] Die Erlauterung der Ablaufe nach dem - in 
der Figur 4a gezeigten - Frankiermodus erfolgt in Ver- 45 
bindung mit dem - in der Figur 1 a dargestellten - Block- 
schaltbild. 

[0124] Nach dem Einschalten werden automatisch 
der Postwert im Wertabdruck entsprechend der letzten 
Eingabe vor dem Ausschalten der Frankiermaschine so 
und das Datum im Tagesstempel entsprechend dem 
aktuellem Datum vorgegeben und fur den Abdruck die 
variablen Daten in die festen Daten fiir den Rahmen 
und fur alle unverandert bleibenden zugehSrigen Daten 
elektronisch eingebettet. Diese variablen Daten der 55 
Fensterinhalte werden nachfolgend kurz als Fensterda- 
ten und alle festen Daten fiir den Wertstempel, den 
Tagesstempel und den Werbeklischeestempel als Rah- 



mendaten bezeichnet. Die Rahmendaten sind einem 
ersten Speicherbereich eines Nurlesespeichers (ROM), 
'welcher zugleich als Programmspeicher 11 dient, ent- 
nehmbar. Die Fensterdaten werden einem zweiten 
Speicherbereich entnommen und entsprechen der Ein- 
gabe in Speicherbereichen Bj des nichtfluchtigen 
Arbeitsspeichers 5 gespeichert. Sie sind diesem jeder- 
zeit zwecks eines Zusammensetzens zu einer Gesamt- 
darstellung eines Frankierbildes entnehmbar. Dabei ist 
vorgesehen, die hexadezimalen Fensterdaten in lauf- 
langencodierter Form in die jeweils getrennten Spei- 
cherbereiche Bj bis B 4 des nichtfluchtigen 
Arbeitsspeichers 5 zu ubertragen und dort abzuspei- 
chern. AuBerdem lauft die Zeit im Uhren/Datums-Bau- 
stein standig auch bei ausgeschalteter 
Frankiermaschine weiter. Wird also der Schritt 401 im 
Frankiermodus 400 erreicht, kann nach dem Einschal- 
ten der Frankiermaschine auch ohne Eingabe auf 
bereits gespeicherte Daten zuruckgegriffen werden. 
Diese Etnstellung betrifft insbesondere die letzte Ein- 
stellung der Frankiermaschine hinsichtlich des Porto- 
wertes, welche im Schritt 402 angezeigt wird, bevor im 
Schritt 403 die Druckdatenaufbereitung erfolgt. Hierbei 
werden die aktuellen variablen Pixelbilddaten (Datum 
und Portowert) in die festen Rahmenpixelbilddaten ein- 
gebettet. AnschlieBend erfolgt im Schritt 404 eine 
Abfrage der Eingabemittel auf eventuelle wertere Einga- 
ben. 

[0125] Die Daten werden aus beiden Speicherbe- 
reichen entsprechend einer vorbestimmten Zuordnung 
vor dem Druck zu einem Pixeldruckbild zusammenge- 
setzt. Die variable Information im dafCir vorgesehenen 
Fenster konnen nachtraglich erganzt und modifiziert 
werden. Um Zeit einzusparen, werden nur die Teile 
einer graphischen Darstellung bei einer Anderung neu 
im nichtfluchtigen Arbeitsspeicher eingespeichert, die 
tatsachlich geandert werden. Im Programmspeicher 1 1 
liegt ein erster Speicherbereich A (u.a. fur die Daten der 
konstanten Teile des Frankierbildes u.a. den Werbekli- 
schee-Rahmen) vor. Die Subspeicherbereiche Aj sind 
fiir i = 1 bis m Rahmen- oder Fixdaten vorgesehen, 
wobei ein zugeordneter Index i den jeweiligen Rahmen 
kennzeichnet, welcher vorzugsweise einer bestimmten 
Kostenstelle zugeordnet ist. Die entsprechende Zuord- 
nung der jeweiligen Kostenstelle zu den Rahmendaten 
wird nach dem Einschalten automatisch abgefragt. In 
einer anderen Variante muG nach jedem Einschalten 
wahrend der Startroutine die Kostenstelle erneut in den 
Speicherbereich C eingegeben werden, wahrend sie 
bei kurzzeitigen Betriebsspannungsunterbrechungen 
erhalten bleibt. 

[0126] Im Charakterspeicher 9 sind alle alphanu- 
merischen Zeichen bzw. Symbole pixelweise a!s binare 
Daten abgelegt. Daten fur alphanumerische Zeichen 
bzw. Symbole sind im nichtfluchtigen Arbeitsspeicher 5 
komprimiert in Form einer Hexadezimalzahl abgespei- 
chert. Sobald die Nummer der Kostenstelle eingegeben 
im Speicherbereich C gespeichert vorliegt, werden die 
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komprimierten Daten aus dem Programmspeicher 11 
mit Hilfe des Charakterspeichers 9 in ein binare Pixelda- 
ten aufweisendes Druckbild umgewandelt, welches in 
solcher de komprimierten Form im fluchtigen Arbeits- 
speicher 7 gespeichert wird (Schritt 403). Zur Erlaute- 
rung werden nachfolgend Arbeitsspeicher 7a, 7b und 
Pixelspeicher 7c verwendet, obwohl es sich hierbei phy- 
sikalisch vorzugsweise um einen einzigen Speicherbau- 
stein handelt. 

[0127] Die Speicherbereiche im nichtfluchtigem 
Arbeitsspeicher 5 konnen eine Vielzahl von Subspei- 
cherbereichen enthalten, unter welchen die jeweiligen 
Daten in Datensatze gespeichert vorliegen. Die Sub- 
speicherbereiche Bj sind fur j = 1 bis n Fensterdaten 
vorgesehen, wobei verschiedene Zuordnungen zwi- 
schen den Subspeicherbereichen der verschiedenen 
Speicherbereiche vorbestimmt gespeichert sind. 
[0128] In einem jeden Datensatz eines Subspei- 
cherbereiches A lf Bj sind abwechselnd nacheinander 
Steuercode und lauflangencodierte Rahmen- bzw. Fen- 
sterdaten enthalten. Vor dem Druck werden im Schritt 
403 aus dem nichtfiiichtigen Programmspeicher (PSP) 
1 1 die jeweiligen ausgewahlten festen Daten in die 
Register 100, 110, 120, .... eines fluchtigen Arbeitsspei- 
chers 7a ubernommen, wobei wahrend der Ubernahme 
Steuercode dekodiert und in einem gesonderten Spei- 
cherbereich des Arbeitsspeichers 7b gespeichert wer- 
den. Ebenso werden die jeweiligen ausgewahlten 
Fensterdaten fur den Poststempel und den Portostem- 
pel in Register 200, 210, 220 geladen. Vorzugs- 
weise werden die Register von Subspeicherbereichen 
im Speicherbereich des Arbeitsspeichers 7a gebildet. In 
einer anderen Variante sind diese vorgenannten Regi- 
ster Bestandteil der Mikroprozessorsteuerung 6. Durch 
Dekomprimieren werden die lauflangencodierter hexa- 
dezimalen Daten in entsprechende binare Pixeldaten 
uberfuhrt. 

[0129] Die einmal aufgerufenen konstanten Teile 
des Frankierbildes stehen im Pixelspeicherbereich I im 
fluchtigen Pixelspeicher 7c standig dekodiert zur Verfu- 
gung. Fur eine schnelle Anderung der Fensterdaten, 
existiert ein zweiter Speicherbereich B im nichtfluchti- 
gen Arbeitsspeicher 5. 

[0130] Die Zahlenketten (sTrings), die fur die Erzeu- 
gung der Eingabedaten mit einer Tastatur 2 Oder aber 
uber eine an die Ein/Ausgabeeinrichtung 4 angeschlos- 
sene, den Portowert errechnende, elektronische Waage 
22 eingegeben werden, werden automatisch im Spei- 
cherbereich D des nichtfluchtigen Arbeitsspeichers 5 
gespeichert. AuBerdem bleiben auch Datensatze der 
Subspeicherbereiche, zum Beispiel Bj, C usw., erhalten. 
Damit ist gesichert, daB die letzten EingabegroGen 
auch beim Ausschalten der Frankiermaschine erhalten 
bleiben, so daB nach dem Einschalten automatisch der 
Portowert im Wertabdruck entsprechend der letzten 
Eingabe vor dem Ausschalten der Frankiermaschine 
und das Datum im Tagesstempel entsprechend dem 
aktuellem Datum vorgegeben wird. Ist eine Waage 22 



angeschlossen, wird der Portowert aus dem Speicher- 
bereich D entnommen. Im Schritt 404 wird gewartet, bis 
ein solcher aktuell gespeichert vorliegt. Bei einer erneu- 
ten Eingabeanforderung im Schritt 404 wird wieder auf 
5 den Schritt 401 zuruckverzweigt. Anderenfalls wird auf 
den Schritt 405 verzweigt, um die Druckausgabeanfor- 
derung abzuwarten. Durch einen Briefsensor wird der 
zu frankierende Brief detektiert und damit eine Druck- 
anforderung ausgelost. Somit kann auf die Abrech- 
;o nungs- und Druckroutine im Schritt 406 verzweigt 
werden. Liegt keine Druckausgabeanforderung (Schritt 
405) vor, wird zum Schritt 401 (Punkt d) Oder - nach 
einer in der Figur 4b gezeigten Variante - zum Schritt 
301 (Punkt e) zuruckverzweigt. 
is [0131] Wenn nach der - in der Figur 4b dargestell- 
ten - anderen Variante start zum Punkt d nunmehr zum 
Punkt e zuruckverzweigt und der Schritt 301 erreicht 
wird, kann jederzeit ein Kommunikationsersuchen 
gestellt oder eine andere Eingabe gemaG den Schritten 
20 Testanforderung 212, Registercheck 214, Eingaberou- 
tine 401 getatigt werden. Es werden weitere Schritte 
401 bis 404, wie bei der Variante nach Figur 4a, durch- 
laufen. Ein weiteres Abfragekriterium kann im anschlie- 
Benden Schritt 405 abgefragt werden, um im Schritt 
25 408 ein Standby-Flag zu setzen, wenn nach einer vor- 
bestimmten Zeit noch keine Druckausgabeanforderung 
vorliegt. Wie bereits oben eriautert, kann das Standby- 
Flag im auf den Kommumkationsmodus 300 folgenden 
Schritt 21 1 abgefragt werden. Damit wird nicht auf den 
30 Frankiermodus 400 verzweigt, bevor nicht die Check- 
summenprufung die Vollzahligkett aller odermindestens 
ausgewahlter Programme ergeben hat. 
[0132] Falls eine Druckausgabeanforderung im 
Schritt 405 erkannt wird, werden weitere Abfragen in 
35 den nachfolgenden optionalen Schritten 409 und 410 
sowie im Schritt 406 getatigt. Beispielsweise werden im 
Schritt 409 das Vorhandensein eines im Schritt 208 
(Fig. 2b) gesetzten Kill-Mode-Flag's, im Schritt 410 das 
Erreichen eines weiteren Stuckzahlkriterium und/oder 
40 im Schritt 406 die in bekannten Weise zur Abrechnung 
eingezogenen Registerdaten abgefragt. War die zum 
Frankieren vorbestimmte Stuckzahi bei der vorherge- 
henden Frankierung verbraucht, d.h. Stuckzahi gleich 
Null, wird automatisch zum Punkt e verzweigt, um in 
45 den Kommunikationsmodus 300 einzutreten, damit von 
der Datenzentrale eine neue vorbestimmte Stuckzahi S 
wieder kreditiert wird. War jedoch die vorbestimmte 
Stuckzahi noch nicht verbraucht, wird vom Schritt 410 
auf die Abrechnungs- und Druckroutine im Schritt 406 
so verzweigt. 

[0133] Die Anzahl von gedruckten Briefen, und die 
aktuellen Werte in den Postregistern werden entspre- 
chend der eingegebenen Kostenstelle im nichtfluchti- 
gen Speicher 10 der Frankiermaschine in einer 
55 Abrechnungsroutine 406 registriert und stehen fur eine 
spatere Auswertung zur Verf ugung. Ein spezieller Slee- 
ping -Mode-Zahler wird wahrend der unmittelbar vor 
dem Druck erfolgenden Abrechnungsroutine veranlaBt, 



15 



29 



EP 0 660 269 B1 



30 



einen Zahlschritt weiterzuzahlen. 
[0134] Die Registerwerte konnen bei Bedarf irr> 
Anzeigemodus 215 abgefragt werden. Es ist ebenfalls 
vorgesehen, die Registerwerte mit dem Druckkopf der 
Frankiermaschine zu Abrechnungszwecken auszudruk- 5 
ken. Das kann beispielsweise ebenso erfolgen, wie das 
bereits in der deutschen Offenlegungsschrift P 42 24 
955 A1 naher ausgefuhrt wird. 

[0135] Es ist bei einer anderen Variante weiterhin 
vorgesehen, daB auch variable Pixelbilddaten wahrend 10 
des Druckens in die ubrigen Pixelbilddaten eingebettet 
werden. Entsprechend der vom Encoder 13 gelieferten 
Positionsmefdung uber den Vorschub der Postgutes 
bzw. Papierstreifens in Relation zum Druckermodul 1 
werden die komprimierten Daten aus dem Arbeitsspei- 75 
cher 5 gelesen und mit Hilfe des Charakterspeichers 9 
in ein binare Pixeldaten aufweisendes Druckbild umge- 
wandelt, welches ebenfalls in solcher dekomprimierten 
Form im fluchtigen Arbeitsspeicher 7 gespeichert wird. 
Nahere Ausfuhrungen sind den europaischen Anmel- 20 
dungen EP 576 113 A2 und EP 578 042 A2 entnehm- 
bar. 

[0136] Der Pixelspeicherbereich im Pixel-Speicher 
7c ist also ftir die ausgewahlten dekomprimierten Daten 
der festen Teile des Frankierbildes und fur die ausge- 25 
wahlten dekomprimierten Daten der variablen Teile des 
Frankierbildes vorgesehen. Nach der Abrechnung 
erfolgt die eigentliche Druckroutine (im Schritt406). 
[0137] Wie aus den Figuren 1a und 1b hervorgeht, 
stehen der Arbeitsspeicher 7b und der Pixelspeicher 7c 30 
mit dem Druckermodul 1 uber eine ein Druckregister 
(DR) 15 und eine Ausgabelogik aufweisende Druckers- 
teuerung 14 in Verbindung. Der Pixelspeicher 7c ist 
ausgangsseitig an einen ersten Eingang der Druckers- 
teuerung 14 geschaltet, an deren weiteren Steuerein- 35 
gangen Ausgangssignale der Mikroprozessor- 
steuereinrichtung 6 anliegen. 

[0138] Sind alle Spaften ernes Druckbildes gedruckt 
worden, wird wieder zur Systemroutine 200 zuruckver- 
zweigt. 40 
[0139] Der in der Figur 2a dargestellte Ablaufplan 
fur ein Sicherheitssystem weist Schritte 201 bis 206 fur 
eine Uberwachung weiterer Kriterien auf. Bei einer Ver- 
letzung eines der Sicherheitskriterien tritt die Frankier- 
maschine in einen Sleeping-Modus ein, beispielsweise, 45 
wenn nach Verbrauch einer vorbestimmten Stuckzahl 
noch keine Verbindung zur Datenzentrale aufgenom- 
men wurde. Anhand der Figur 5 wird ein Detail des 
Ablaufplanes fur eine erste Sleeping-Mode-Variante 
erlautert. Von der Systemroutine 200 ausgehend tritt 50 
die Frankiermaschine in einen Schritt 201 ein, in wel- 
chem aktuelle Daten S und S ref aufgerufen werden. Die 
Frankiermaschine enthalt einen fest gespeicherten 
Stuckzahlvergleichswert S re f. In Ubereinstimmung mit 
der Hone des gerade wahrend einer Kommunikation 55 
nachgeladenen Guthabens wurde u.a. intern eine Slee- 
pingmodestuckzahl S errechnet, welche nachfolgend 
bei jeder Frankierung dekrementiert wird. Dies wird fort- 



gesetzt, bis der Stuckzahlvergleichswert S ref erreicht 
ist. Wird ein solches im Schritt 202 festgestellt, erfolgt 
im Schritt 203 eine Warnung, beispielsweise "TELE- 
SET", um den Benutzerder Frankiermaschine zu etner 
Kommunikation mit der Datenzentrale aufzufordern. 
Durch diese Anzeige ergibt stch eine Verzogerung t n im 
Betriebsablauf der Frankiermaschine. Im nachfolgen- 
den Schritt 204 wird die Verzogerung fur eine nachste 
Anzeige mit der Zeitdauer t k inkrementiert aber der 
Stuckzahlvergleichswert um den Wert n dekrementiert, 
bevor auf den Schritt 207 verzweigt wird. Damit ist 
sichergestellt, daB die Aufforderung die Kommunikation 
mit der Datenzentrale herzustellen immer dringlicher 
wird, weil die Frankiermaschine immer langer im Schritt 
203 verweilt. Wurde jedoch eine Kommunikation 300 
durchgefuhrt, wurden Daten ubermittelt (Schritt 211) 
und im Bereich G des nichtfluchtigen Speichers 5 der 
Frankiermaschine wahrend des Statistik- und Fehler- 
auswertemodus gespeichert. 

[0140] Die Frankiermaschine und die Datenzentrale 
verabreden jeweiis eine vorbestimmte Stuckzahl S, d.h. 
die Menge, die bis zur nachsten Verbindungsaufnahme 
frankiert werden kann. Falls eine Kommunikation nicht 
zustande kommt (Stuckzahlkontrolle), verlangsamt die 
Frankiermaschine ihre Arbeitsweise (Sleeping Modus- 
Variante 1). Als aktuelle Daten werden im Schritt 201 
som'rt die zurtickgesetzten Gr6f3en t n bzw. Werte S und 
S ref aufgerufen. Wird in der Datenzentrale ermittelt, wel- 
che Stuckzahl bis zur nachsten Verbindungsaufnahme 
frankiert werden soil, mussen gespeicherte historische 
Daten uber das Guthabennachlade- bzw. Frankierver- 
halten (Stuckzahl von Postgutern mit Durchschnitts- 
Porto) herangezogen werden. Die Ubermittlung einer 
neuen Stuckzahl S' kann dann auf die gleiche Art und 
Weise erfoigen, wie das im Zusammenhang mit der 
Ubermittlung des neuen Codewortes Y' bereits erlautert 
wurde. Bei einer Kommunikation gemaB Figuren 3a und 
3b wird dann eine neue vorbestimmte Stuckzahl S' 
ubermittelt und als Stuckzahl S bei laufender Frankie- 
rung dekrementiert. Aus der neuen vorbestimmten 
Stuckzahl S' wird intern die Vergleichsstuckzahl S ref 
errechnet (Schritt 213). 

[0141] In der Figur 6 ist der modifizierte Ablaufplan 
fur eine zweite Sleeping-Modus-Variante gezeigt. Die 
Schritte 1 00 bis 1 05 sowie 21 0 sind nicht mit dargestellt 
worden. Nach dem Aufruf der ubermittelten aktuellen 
Daten im Schritt 201, wird im Schritt 202 die zu dekre- 
mentierende Stuckzahl S mit einer Vergleichsstuckzahl 
verglichen. Die Vergleichsstuckzahl ermittelt sich aus 
der Division einer maximalen Stuckzahl S max durch 
eine Zahl k. Ist das Kriterium erfullt, wird wieder auf 
einen Schritt 203, welcher die Warnung, beispielsweise 
"CALL FP" kurzzeitig anzeigt. AnschlieBend wird im 
Schritt 204 die neue maximale Stuckzahl S max Qber 
eine Division mit einer weiteren Zahl m gebildet, welche 
fur den nachsten Vergleich im Schritt 202 erforderlich 
sein wurde, falls keine Kommunikation mit der Daten- 
zentrale bzw. keine Guthabennachladung erfolgt. Damit 
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kann bis zur nachsten Stuckzahlgrenze ohne Anzeige 
einer Warnung weiter gearbeitet werden. Jedoch 1st es 
moglich in immer kurzeren Abstanden, d.h. nach einer 
vorbestimmten Anzahl an Frankierungen, eine erneute 
Warnung auszugeben, welche so immer dringlicher auf 5 
das Erfordernis einer Kommunikation mit der Datenzen- 
trale aufmerksam macht. Das Frankieren wird nicht 
beeintrachtigt. Solange die Uberprufung im Schritt 205 
ergibt, daB die Stuckzahl S noch groBer Null ist, wird 
der Schritt 207 erreicht. Lediglich die Warnung w 
erscheint immer fitter in der Anzeige. Anderenfalls wird 
auf den Schritt 206 verzweigt, wobei beispielsweise ein 
FLAG gesetzt wird, welches spater im Schritt 301 abge- 
fragt und als Kommunikationsersuchen gewertet wird. 
Im Schritt 206 kann ebenfalls eine zusatzliche Anzeige 15 
erfolgen, daB nun automatisch die Kommunikation 
erfolgt und solange die Frankierfunktion ruht, bis die 
Kommunikation erfolgreich abgeschlossen ist. Naturlich 
kann jederzeit der Frankiermaschinenbenutzer schon 
vorher den Kommunikationsmodus aufrufen. 20 
[0142] Eine andere Variante kommt ohne den in der 
Figur 6 gezeigten Schritt 204 aus. Es wird eine standige 
Warnung fur ein bevorstehendes Schlafenlegen der 
Frankierfunktion im Schritt 203 ausgegeben, weil dieser 
nun aufgrund des erfullten Abfragekriteriums in Schritt 25 
202 standig durchlaufen werden muB, bevor Schritt 205 
erreicht wird. Es ist weiterhin vorgesehen, daB der 
Schritt 203 einen Subschritt zur Fehlerstatistik entspre- 
chend dem Statistik- und Fehlerauswertungsmodus 
213umfaBt. 30 
[0143] Die Frankiermaschine verlangt in der aus 
US 3 255 439 bekannten Weise eine Verbindung zur 
Datenzentrale. Kommt die Verbindung zustande, pruft 
die Datenzentrale die Registerstande. Falls die Nachla- 
dung nicht vorgenommen werden kann, hindert die 35 
Datenzentrale durch ein zur Frankiermaschine ubermit- 
teltes Signal diese am weiteren Betrieb. Wenn die Ver- 
bindung kurz nach der von der Frankiermaschine 
vorgenommenen Signalisierung zustande kam und die 
Registerstande nicht bemangelt werden, kann die Fran- 40 
kiermaschine ohne eine weitere auBerordentliche 
Inspektion in den Betriebsmodus zuruckgeschaltet wer- 
den. Hierzu werden neue aktuelle Daten beispielsweise 
fur ein Guthaben und fur die erlaubte Stuckzahl uber- 
mittelt, welche bis zur nachsten Verbindungsaufnahme 45 
frankiert werden kann. 

[0144] Die Datenzentrale kann aufgrund des uber- 
mittelten Signalisierungscodes zwischen automatisch 
vorgenommener und normaler Kommunikation unter- 
scheiden. Erstere wird immer dann erfolgen, wenn der so 
Nutzer der Frankiermaschine die Aufforderungen zur 
Kommunikation ubersehen bzw. ignoriert hat und ent- 
sprechende Eingabehandlungen unterlaBt. Hierbei 
kann im Wiederholungsfall bei einem Verdacht einer 
Manipulation eine Sonderinspektion angeordnet wer- 55 
den. 

[0145] Es ist vorgesehen, daB die im Schritt 201 
aufgerufenen aktuellen Daten unmittelbar nach einer 



Kommunikation eine berechnete bzw. ubermittelte spe- 
zifische Stuckzahl S'als Stuckzahl S und eine maximale 
Stuckzahl S max umfassen. Die Vergleichsstuckzahl S ref 
fur ein erstes Stuckzahlkriterium entspricht der durch 
die Zahl k dividierten berechneten bzw. ubermittelten 
maximalen Stuckzahl S max . Bei Erfullung des im Schritt 
202 abgefragten ersten Stuckzahlkriteriums fur den 
zweiten Modus wird auf den folgenden Schritt 203 ver- 
zweigt, der eine standige Warnung fur ein bevorstehen- 
des Schlafenlegen der Frankiermaschinenfunktion bzw. 
eine Aufforderung zur erneuten Kommunikation mit der 
Datenzentrale umfaBt, bevor Schritt 205 zur Uberpru- 
fung der Daten mittels eines weiteren Stuckzahlkriteri- 
ums erreicht wird. Bei Nichterfullung des weiteren 
Stuckzahlkriteriums wird ein Schritt 206 zum automati- 
schen Kommunikationsersuchen der Frankiermaschine 
ausgefuhrt. Wahrend einer Kommunikation mit der 
Datenzentrale werden die Transaktionsdaten einzeln 
und seriell Gbertragen, die mindestens ein durch einen 
MAC abgesichertes Entscheidungskriterium umfas- 
sen,wodurch das automatische Kommunikationsersu- 
chen aufgehoben wird.falls die Transaktion erfolgreich 
durchgefuhrt wurde. Zuvorwurde im Schritt 306 des - in 
Figur 3a gezeigten - Kommunikationsmodus 300 fest- 
gesteirt, daB keine weitere Transaktion erforderlich ist 
und nach Anzeige (Schritt 31 0) auf den Punkt e zuruck- 
verweigt. Wenn also manuell kein weiteres Transakti- 
onsersuchen eingegeben wurde, wird vom Schritt 301 
zum Betriebsmodus (Punkt f) weiterverzweigt. Somit 
kann im Schritt 301 zwischen manuell und automatisch 
gestellten Transaktionsersuchen unterschieden wer- 
den. Wenn die Kommunikation nach einer vorbestimm- 
ten Zeit noch nicht zustande gekommen Oder 
beispielsweise die Datenzentrale belegt, d.h. keine Lei- 
tung frei ist, wird dies im Schritt 305 als Kommunikati- 
onsfehler gewertet. Dann wird zum Schritt 304 
zuruckverzweigt und eine Wahlwiederholung bis zu 
einer vorbestimmten Anzahl vorgenommen. Ist diese 
vorbestimmte Anzahl erreicht wird vom Schritt 305 uber 
den Anzeigeschritt 31 0 wieder zum Punkt e zuruckver- 
zweigt. AuBerdem konnen im Schritt 305 falls n Wahl- 
wiederholungen erfolglos waren ein eventuell gesetztes 
Kommunikations-FIag zuruckgesetzt werden, so daB im 
Schritt 301 diesbezugltch kein Transaktionsersuchen 
mehr erkannt wird. Zusatzlich kann gleichzeitig ein 
Standby-Flag gesetzt werden, was wieder im Schritt 
211 erkannt wird. Somit werden in der vorgenannten 
Weise im Schritt 213 zur Statistik- und Fehlerauswer- 
tung anhand einer Checksumme der Inhalt des Pro- 
grarnmspeichers (PSP) 1 1 uberpruft Danach wird das 
Standby-Flag zuruckgesetzt und zur Systemroutine 200 
Punkt s zuruckverzweigt. 

[0146] Wenn gemaB Figur 4b nach der anderen 
Variante fur den Frankiermodus 400 gearbeitet wird, 
welche einen Schritt 410 einschlieBt, dann braucht kein 
Standby-Flag gesetzt werden. Vom Frankiermodus 
kann dann direkt auf den Kommunikationsmodus 300 
Punkt e zuruckverzweigt werden. Damit konnen weiter- 
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hin auch andere Eingaben, beispielsweise gemaB den 
Schritten Testanforderung 212 Oder Registercheck 214 
getatigt werden. Nur falls auf den Frankiermodus 400 
verzweigt wird, wird dann im Schritt 410 entsprechend 
dem Entscheidungskriterium erneut festgestelft, ob eine 
automatische Kommunikation erfoderlich ist. Das ist 
vorzugsweise der Fall, falls die vorbestimmte Stuckzahl 
verbraucht ist. 

[0147] ' War die Kommunikation erfolgreich und war- 
den Daten ubermittelt (im Schritt 21 1 abgefragt), wird 
ebenfalls der Schritt 21 3 erreicht. Im Schritt 21 3 werden 
die aktuellen Daten ermittelt bzw. geladen, welche im 
Schritt 201 aufgerufen und anschiieBend wieder beim 
Vergleich im Schritt 202 ben6tigt werden. Das ubermit- 
telte Entscheidungskriterium ist vorzugsweise die neue 
Stuckzahl S*. 

[0148] Eine alternative Variante besteht darin, daB 
das Entscheidungskriterium das neue zum Frankieren 
ubermittelte Guthaben ist und im Auswertemodus 213 
die neue Stuckzahl S' intern in der Frankiermaschine 
ermittelt wird. Die Kommunikation mit der Datenzentrale 
umfaBt in diesem Fall nicht mehr die neue Stuckzahl S\ 
sondern ist lediglich zur Auslosung der Berechnung im 
Auswertemodus 213 erforderlich. Die Berechnung 
erfolgt intern in der Frankiermaschine und gleichzeitig 
parallel dazu in der Datenzentrale nach den gleichen 
Methoden aufgrund der ubermittelten Registerdaten. 
[0149] Die Frankiermaschine kann der Datenzen- 
trale Registerwerte vor einer Guthabennachladung 
ubermitteln: 

R1 (descending register) vorr&tige Restbetrag in 
der Frankiermaschine, 

R2 (ascending register) Verbrauchssummenbetrag 
in der Frankiermaschine, 

R3 (total resetting) die bisherige Gesamtvorgabe- 
summe aller Fernwertvorgaben, 
R4 (piece count Zprinting with value 4= O) Anzahl 
gultiger Drucke, 

R8 (R4 + piece count Lprinting with value =0) 
Anzahl aller Drucke 



mit 



daraus folgt: 



R3 = R2 + R1 



(1) 



[0150] Bei jeder Fernwertvorgabe laBt sich R1 
abfragen und statistisch auswerten. Wird R1 immergrd- 
Ber, dann kann der gleiche Nachladebetrag in immer 
groBeren Nachladeperioden nachgeladen werden, bzw. 
die Stuckzahl wird kleiner angesetzt, welche bis zur 
nachsten Kommunikation frankiert werden darf. 
[0151] Die Stuckzahl kann aus der Durchschnitts- 
stiickzahi S^ der eine Dispositionsstuckzahl S x hinzu- 
addiert wird, ermittelt werden. Es gilt: 



S'=S„ + S. 



(2) 



55 



S n = R f 



rrVneu -I 
L R 2 alt "'J 



(3) 



bzw. 



w 



S rt = R, 



[R, neu i 



[0152] Die abgefragten Registerwerte sind mit dem 
Index "alt" versehen. Ein dem Ascending-Register ent- 
nommener Wert R 2a j t entspricht dem aktuellen Abf rage- 
wert. Entspreeines Vorgabewunsches, der zum 
aktuellen Abfragewert hinzuaddiert werden muB, ergibt 
sich der kunftige Wert R2neu- Die Dispositionsstuckzahl 
S x ist abhangig von der Einstufung des Frankiermaschi- 
nen-Nutzers als A-, B- oder C-Kunde. 
[0153] In einer weiteren Variante wird die Dispositi- 
onsstuckzahl S x in Abhangtgkeit von der Einstufung a x 
des Frankiermaschinen-Nutzers als A- B- oder C- 
Kunde und zusatzlich in Abhangigkeit von seinem Fran- 
kierverhalten ermittelt: 



bzw. 



S x- a x* R 8att* R 1alt /R 2alt 



a x * R 4alt * R 1alt /R 2alt 



(5) 



(6) 



Von der Datenzentrale wird das Verhalten des Frankier- 
maschinenbenutzers auf der Basis von wahrend der 
Kommunikation ubermittelten Daten uberwacht, um ver- 
dachtige Frankiermaschinen festzustellen. Ein entspre- 
chender Suspicious Mode kann nur von der 
Datenzentrale aktiviert werden, wobei keine direkten 
Auswirkungen auf die Frankiermaschine stattfinden. 
[0154] Anhand der frankiermaschinenspezifischen 
Daten laBt sich ein Frankiermaschinen-Profil erstellen. 
Dieses Frankiermaschinen-Profil gibt dartiber Auskunft, 
ob ein Kunde mit den durchgefuhrten Nachladevorgan- 
gen in der Lage war, die ermittelte Anzahl an Frankie- 
rungen durchzufiihren. Es sind innerhalb des 
Suspicious Mode zwei Stufen zu unterscheiden: 

1. Frankiermaschine ist verdachtig und 

2. Frankiermaschine muB manipuliert worden sein. 

[0155] In die Berechnung zur Ermrttlung des Fran- 
kiermaschine n- Prof i Is konnen verschiedene frankier- 
maschinenspezifische Daten einflieBen. Im Bereich 
zwischen einem minimalen Frankierwert F mjn und 
einem maximalen Frankierwert F max gestattet die Fran- 
kiermaschine gultige Drucke, welche im Register fur R4 
registriert werden. AuBerdem kann eine Nullwertfran- 
kierung erfolgen. Folgende Formeln kommen nachein- 
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ander zum Einsatz: 

v susp1 (R3-R1) r mm R2 ™ 



und auBerdem, wenn R1a!t t R1neu 

V = R4neu ' R4alt * c 
v susp2 Ria!t-R1neu min 



R1 a j t : R1 nach n-ter Fernwertvorgabe 

R1 neu : R1 vor n+1 -~ ter Fernwertvorgabe 

Vsusp : heuristischer Wert, der Auskunft fiber den 

Zustand der Frankiermaschine gibt 
F min : minirnaler Frankierwert 

[0156] Bei einem Mindestfrankierwert von z.B. F min 
= 20 Wahrungseinheiten ergibt sich folgende Fallunter- 
scheidung: 

Vsuspi < ^ ' n O rc * nun 9 (okay) 

v suspi = 5.. 100 verdachtig (suspicous) 
V susp1 > 100 manipuliert (manipulated) 

[0157] In regelmaBigen Abstanden wird in der 
Datenzentrale eine Plausibilitatskontrolle samtlicher im 
Einsatz befindlicher Frankiermaschinen durchgefuhrt. 
Bei diesem Verfahren werden die Maschinen gekenn- 
zeichnet und der PostbehSrde gemeldet, deren Fran- 
kierverhalten verdachtig erscheinen Oder manipuliert 
worden sind. 

[0158] In der Frankiermaschine ist ggf. noch eine 
andere SicherheitsmaBnahme (Error Overflow Mode) 
vorgesehen. Diese kann im zweiten Modus neben oder 
anstatt der Sleeping-Mode-Variante 1 oder Sleeping- 
Mode-Variante 2 durchgefuhrt werden. Bei Erfullung 
cles Abfragekriteriums im Schritt 202, d.h. bei Ober- 
schreitung einer vorbestimmten Anzahl an Fehlern, ver- 
langsamt sich die Reaktionszeitdauer der 
Frankiermaschine im Schritt 203, wobei uber die 
Anzeige gleichzeitig dieser Zustand an den Bediener 
der Frankiermaschine gemeldet wird. In den weiteren 
Schritten kann ahnlich verfahren werden, wie in Zusam- 
menhang mit den Figuren 2 und 5 bereits erlautert 
wurde. Die Frankiermaschine speichert sowohl interne 
als auch Bedienungsfehier und Manipuiattonsversuche 
in einem Fehlerregister zu protoko II arisen en Zwecken 
beispielsweise bis zu der Zahl 999. Wird der Zustand 
der Uberschreitung der Fehleranzahl nicht beseitigt, 
beispielsweise im Rahmen einer Inspektion durch einen 
Servicedienst oder durch Rucksetzen wahrend einer 
Kommunikation mit der Datenzentrale, kann die Reakti- 
onszeitdauer wetter erhc-ht werden, urn eventuelle 
Manipulationen zu erschweren. Die Fehlerzahl wird 
dann weiter d.h. wieder bis zu einer vorbestimmten 
Zahl, beispielsweise im Schritt 213 protokolltert. 



[0159] In einer ersten Variante ist vorgesehen, die 
Reaktionszeitdauer, beispielsweise die Zeitdauer bis 
zum Begtnn des Druckbetriebes, linear mit der Anzahl 
der Fehler zu erhohen. Die Ausfuhrung des Program- 

5 mes wird dadurch weder modifiziert noch verhindert, 
sondern nur verzogert. Insbesondere werden solche 
unkritischen Programmteile, welche nicht durch Time 
supervision (Kill Mode 1) oder Flow control uberwacht 
werden, mehrfach aufgerufen, wie beispielsweise die 

to Fehleranzeige. Damit bleibt die Wirkung des Program- 
mes im Wesentlichen unverandert. 
[01 60] In einer zweiten Variante wird die Reaktions- 
zeitdauer jeweils um eine Stufe erhoht, wobei die Stufen 
Sekunden, Minuten, Stunden, Tage, ... usw. betreffen 

75 konnen. 

[0161] In Abanderung bzw. in Kombination mit vor- 
genannten Varianten kann eine Erh6hung der Reakti- 
onszeitdauer auBerdem bei jeder Fehlbedienung 
vorgesehen werden. Hierzu wird in einer Ausfuhrungs- 

20 form ein efektronisches ZeitschloB betatigt. Vorzugs- 
weise wird eine progressive Steigerung der 
Reaktionszeitdauer im Betriebsprogramm vorgesehen, 
um eine Manipulation zu erschweren. 
[0162] Es ist vorgesehen, daB der Schritt 213 teil- 

25 weise oder ganz in Verbindung mit anderen Schritten 
als Subschritt aufgerufen wird. Beispielsweise ist der 
Statistik und Fehlermodus Bestandteil des Schrittes 
203 und der Abrechnungs- und Druckroutine gemaB 
des Schrittes 406 im Frankiermodus 400, welcher in 

30 den Figuren 4a und 4b naher dargestellt ist. Tritt ein 
schwerer Abrechnungsfehier auf wird die Maschine im 
Schritt 406 oder im Schritt 208 blockiert. Tritt ein Fehler 
aber wahrend der Initialisierungsphase im Schritt 101 
auf, bleibt die Maschine unter Anzeige eines bestimm- 

35 ten Fehlercodes stehen. 

[0163] In der Figur 2b ist eine zweite Variante fur 
den Ablaufptan nach der erfindungsgemaBen Losung 
dargestellt. Im Schritt 207 wird nicht nur die Strukturpru- 
fung der Registerdaten durchgefuhrt, sondern der 

40 Schritt 207 umfaGt auBerdem eine Prufung der Regi- 
sterinhalte. Bei Nichtubereinstimmung mit dem Abfra- 
gekriterium fur einen ordnungsgemaBen Zustand wird 
im Schritt 208 ein Kill-Mode-Flag zum Sperren der Fran- 
kiermaschine gesetzt und dann zum Punkt e verzweigt. 

45 Daher kdnnen auch bei gesperrter Frankiermaschine 
alle gewunschten Eingaben, Kommunikationen mit der 
Datenzentrale, Registeranzeigen bzw. Tests wetterhtn- 
durchgefuhrt werden. 

[0164] Das Kill-Mode-Flag wird erst im Frankiermo- 
50 dus - in der nach Figur 4b dargestellten Weise - im 
Schritt 409 vor der eigentlichen Abrechnungs- und 
Druckroutine (Schritt 406) abgefragt. Ist das Kiil-Mode- 
Flag gesetzt, wird der Statistik- und Fehlerauswertungs- 
modus (Schritt 213) und der Anzeigemodus (Schritt 
55 215) durchlaufen und dann zur Systemroutine (Punkt s) 
zuruckverzweigt. 

[0165] Somit bleibt die Frankiermaschine gesperrt. 
Die Frankiermaschine wird einerseits ohne Freischalten 
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wieder betriebsfahig, wenn der Fehler beseitigt worden 
ist, d.h. wenn beispielsweise ein Briefstau behoben 
Oder ein Guthaben nachgeladen worden ist. 
[0166] Andererseits gibt es schwere Fehler, welche 
erst anlaBiich der nachsten Inspektion vor Ort von einer 5 
dazu berechtigten Person aufgehoben werden konnen. 
Ein solcher Fehler, beispielsweise wenn der Prozessor 
nicht auf den Arbeitsspeicher zugreifen kann, d.h. den 
Dateninhalt des RAM's weder lesen noch verandern 
kann, wird beispielsweise durch Stecken eines speziel- 10 
len RES ET-E PROM's beseitigt. Hierzu mu3 die Ver- 
plombung der Klappe und die Frankiermaschine 
ge6ffnet werden. Das RESET-EPROM enthalt die erfor- 
derlichen Daten, beispielsweise den vorgenannten Y- 
Code, und spezielle Programme zur Wiederherstellung 15 
der Frankiermaschinenfunktion. Beispielsweise kann 
ein solches Programm eine erfolgte Redundanzverrin- 
gerung wieder ruckgangig machen. Die Protokollierung 
der Fehler, welche wahrend des Betriebes der Frankier- 
maschine im Statistik- und Fehlerauswertungsmodus 20 
(Schritt 213) getrennt nach Fehlerarten erfolgt, wird 
dabei von der berechtigten Person daraufhin uberpruft, 
ob ein Manipulationsversuch unternommen worden ist. 
[0167] Die Erfindung ist nicht auf die vortiegenden 
Ausftihrungsformen beschrankt. Vielmehr ist eine 25 
Anzahl von Varianten in Rahmen der Anspruche denk- 
bar. 

Patentanspruche 

30 

1. Verfahren zur Verbesserung der Sicherheit von 
Frankiermaschinen mit einem Mikroprozessor in 
einer Steuereinrichtung der Frankiermaschine, mit 
folgenden Schrttten: Ausfuhrung einer Start- und 
Initialisierungs-routine; nachfolgend Ausfuhrung 35 
einer Systemroutine mit einer Moglichkeit, in einen 
Kommunikationsmodus mit einer entfernten Daten- 
zentrale einzutreten, sowie weiteren Eingabeschrit- 
ten, um in einen Frankiermodus einzutreten, von 
dem nach Ausfuhrung einer Abrechnungs- und 40 
Druckroutine in die Systemroutine zuruckverzweigt 
wird, g e ken nzeich net durch folgende Schritte: Bil- 
den einer Checksumme im One Time Programma- 
ble-Prozessor uber den Inhalt eines externen 
Programmspeichers PSP (11); Vergteich der 45 
Checksumme mit einem im OTP-Prozessor gespei- 
cherten vorbestimmten Wert vor und/oder nach 
Ablauf des Frankiermodus (400) bzw. Betriebsmo- 
dus (290), insbesondere wahrend des Inttialisie- 
rungs Schritts (101), wenn die Frankiermaschine so 
gestartet wird, oder in Zeiten, in welchen nicht 
gedruckt wird, in einem Schritt zur Fehlerauswer- 
tung (213), wenn die Frankiermaschine im 
Standby-Modus betrieben wird, Protokollierung im 
Fehlerfall, und anschlieBende Blockierung der 55 
Frankiermaschine. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 



zeichnet, da3 zur Verbesserung der Manipulati- 
onssicherheit in einem als Kill-Mode 2 bezeicheten 
Schritt Zusatzlich zur Checksumme uber den Inhalt 
des Programmspeichers (PSP 11) die Check- 
summe der Registerstande gebildet wird und/oder 
eine Anfrage hinsichtlich Manipulationsversuche im 
Standby Modus vorgesehen ist. 

3. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB der Frankiermodus (400) einen 
Schritt (405) zur Abfrage einer Druckausgabeanfor- 
derung und einer weiteren Abfrage nach der Anzahl 
an Durchlaufen durch die Programmschleife 
umfaBt, welche letztendlich wieder auf die Eingabe- 
routine (401) des Frankiermodus (400) direkt 
(Punkt d) Oder indirekt (Punkt e) Liber den Schritt 
(301) des Kommunikationsmodus (300) auf den 
Betriebsmodus (290) einschlieGlich Frankiermodus 
(400) fuhrt, daB bei Erfullung eines Abfragekriteri- 
ums, wobei eine vorbestimmte Zeit keine Eingabe- 
anforderung vorliegt oder durch einen Briefsensor 
kein nachfolgendes zu frankierendes Poststuck 
ermittelt wird und somit keine Druckanforderung 
erfolgt, ein Flag gesetzt und direkt auf einen Punkt 
s zur Systemroutine (200) zuruckverzweigt wird, 
ohne daB die Abrechnungs- und Druckroutine im 
Schritt (406) durchlaufen wird, daB im Betriebsmo- 
dus (290) eine Abfrage erfolgt, ob das Flag gesetzt 
ist, und bei Vorliegen des Abfrage kriteri urns (211) 
der Standby Modus erreicht ist, daB im Statistik- 
und Fehlerauswertungsmodus (213) die Check- 
summe uber den Inhalt des Programmspeichers 
(PSP 11) gebildet und daB nach der Checksum- 
menprufung das im Abfrageschritt (211) abgefragte 
Flag zuruckgesetzt Oder im Fehlerfall eine MaB- 
nahme ergriffen wird, die direkt zum Blockieren der 
Frankiermaschine ftihrt oder daB die MaGnahme 
indirekt bei einem Registercheck (207) erkannt 
wird, um dann auf einen Sperrschritt (208) zu ver- 
zweigen, um die Frankiermaschine zu sperren. 

4. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daB im Schritt zur Fehlerauswertung 
(213) ein Codeword Y geloscht wird, wenn ein 
Manipulationsversuch im Standby Modus durch 
Checksumme nprufung festgestelft worden ist. 

Claims 

1. A method for improving the safety of franking 
machines by means of a microprocessor in a con- 
trol means of the franking machine involving the fol- 
lowing steps: execution of a start and initialization 
routine, followed by the execution of a system rou- 
tine with a possibility to enter into a communication 
mode with a remote data central, as well as further 
input steps, in order to enter into a franking mode 
from which, after the execution of an accounting 
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and printing routine, control is branched back to the 
system routine, 

characterized by the following steps: 

formation of a checksum of the content of an 5 
external program memory PSP (11) by the on- 
time programmable processor; comparison of 
the checksum with a predetermined value 
stored in the OTP processor before and/or after 
execution of the franking mode (400) or the 10 
operating mode (290), in particular during the 
initialization step (101), upon starting the frank- 
ing machine, or in times when no printing takes 
place, in an error analyzing step (213), when 
the franking machine is operated in standby is 
mode; logging in case of an error; followed by a 
blocking of the franking machine. 

2. A method according to Claim 1 , characterized in 
that, for improving the manipulation safety, in an 20 
additional step (30) named kill mode 2 f the check- 
sum of the register contents is formed in addition to 

the checksum of the content of the program mem- 
ory (PSP 11) and/or a query as to manipulation 
attempts is provided in the standby mode. 25 

3. A method according to Claim 1, characterized in 
that the franking mode (400) includes a step (405) 
for querying a printout request and further querying 

as to the number of runs of the program loop that 30 
finally leads back directly (point d) to the input rou- 
tine (401) of the franking module (400) or indirectly 
(point e) over step (301) of the communication 
mode (300) to the operating mode (290) including 
the franking mode (400); that, upon fulfilling a query 35 
criterion, i.e. for a predetermined time, no input 
request is made or a letter sensor does not detect 
any subsequent mail item to be franked and thus no 
printing request is made, a flag is set and control is 
directly branched back to a point s to the system 40 
routine (200), without passing the accounting and 
printing routine in step (406); that, in operating 
mode (290), it is queried whetherthe flag is set and, 
upon existence of the query criterion (21 1), standby 
mode is entered; that, in the statistics and error 45 
analysis mode (213), the checksum of the content 
of the program memory (PSP 11) is formed; and 
that, following the checksum verification, the flag 
queried in query step (21 1) is reset or, in case of an 
error, a measure is taken directly leading to block- so 
ing the franking machine; or that the measure is 
indirectly recognized in a register check (207) in 
order to branch to a locking step (208) for locking 
the franking machine. 

55 

4. A method according to Claim 3, characterized in 
that, in the error analysis step (213), a code word Y 
is deleted when a manipulation attempt has been 
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detected in standby mode by means of checksum 
verification. 

Revendications 

1. Precede destine a ameliorer la securite des machi- 
nes a affranchir comprenant un microprocesseur 
dans un dispositif de commande de la machine a 
affranchir, comportant les etapes suivantes: reali- 
sation d'une routine de demarrage et d'initialisation; 
puis realisation d'une routine de systeme avec une 
possibility de penetrer dans un mode de communi- 
cation avec une centrale de donnees eloigned, 
ainsi que d'autres etapes d'entree pour penetrer 
dans un mode d'affranchissement duquel, apres 
realisation d'une routine de d^compte et d'impres- 
sion, on est rebifurque dans la routine de systeme, 
caracterise par les etapes suivantes: formation 
d'une somme de controle dans le processeur a pro- 
grammation unique (OTP) via le contenu d'une 
memoire de programme externe PSP (1 1); compa- 
raison de la somme de controle avec une valeur 
predefinie memorisee dans le processeur OTP 
avant et/ou apres deroulement du mode d'affran- 
chissement (400) respectivement du mode de ser- 
vice (290); en particulier pendant Petape 
d'initialisation (101) lorsque la machine a affranchir 
est d^marree, ou dans les periodes ou Ton 
n'imprime pas, dans une etape destinee a I'analyse 
d'erreur (213) lorsque la machine a affranchir est 
exploitee en mode standby, verbalisation en cas 
d'erreur, et puis blocage de la machine a affranchir. 

2. Precede selon la revendtcation 1, caracterise en 
ce que, pour ('amelioration de la securite de mani- 
pulation dans une etape (30) designee comme 
mode kill 2, en plus de la somme de controle, la 
somme de controle des etats de registre est formee 
via le contenu de la memoire de programme (PSP 
11) et/ou une demande concernant les essais de 
manipulation est prevue en mode standby. 

3. Procede selon la revendication 1, caracterise en 
ce que le mode d'affranchissement (400) com- 
prend une 6tape (405) pour la demande d'edition 
d'impression et pour une autre demande du nom- 
bre de passages a travers la boucle du programme, 
laquelle finalement reconduit a la routine d'entree 
(401) du mode d'affranchissement (400) directe- 
ment (point d) ou indtrectement (point e) via I'etape 
(301) du mode de communication (300) sur le 
mode de service (290) y compris le mode d'affran- 
chissement (400), en ce que lors d'une reponse a 
un critere de demande, une demande d'entree 
n'existant pas pendant une periode predetermined 
ou, via un capteur de lettre, aucun pli a affranchir 
n'etant rep ere et ainsi aucune demande d'impres- 
sion n'ayant lieu, on place un drapeau et rebifurque 
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directement sur un point s vers la routine de sys- 
teme (200) sans passer par la routine de decompte 
et d'impression dans I'etape (406), en ce que, dans 
le mode de service (290), il y a une demande pour 
savoir si le drapeau est place et si, en cas d'exis- 5 
tence du critere de demande (21 1), le mode stan- 
dby est atteint, en ce que, dans le mode statistique 
et d'analyse d'erreur (213), la somme de controle 
est formee via le contenu de la memoire du pro- 
gramme (PSP 1 1 ) et en ce que, apres Texamen de w 
la somme de controle, le drapeau demande dans 
I'etape de demande (21 1) est desactive ou, en cas 
d'erreur, on prend une mesure qui conduit directe- 
ment au blocage de la machine a affranchir ou en 
ce que la mesure est indirectement reconnue lors 75 
d'un controle de registre (207) pour, ensuite, bifur- 
quer sur une etape de blocage (208) afin de blo- 
quer la machine a affranchir. 

Precede selon la revendication 3, caracterise en 20 
ce que, dans I'etape pour I'analyse d'erreur (213), 
on efface un mot de code Y lorsqu'un essai de 
manipulation a ete constate en mode standby par 
un examen de somme de controle. 
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